Net-Worm.Win32.Dabber.a

Главная / Описания / Net-Worm.Win32.Dabber.a

Печать

Закладки

Время детектирования	14 май 2004 04:43 MSK
Время выпуска обновления	14 май 2004 04:43 MSK
Описание опубликовано	09 июн 2004 13:16 MSK

Технические детали

Вирус-червь. Распространяется через интернет, используя уязвимость в FTP-компоненте червя I-Worm.Sasser.

Червь является приложением Windows (PE EXE-файл), имеет размер 29696 байт. Упакован UPX.

Инсталляция

При инсталляции червь копирует себя с именем "package.exe" в следующие каталоги:

системный каталог Windows
c:\Documents and Settings\All Users\Start Menu\Programs\Startup\
%windir%\All Users\Main menu\Programs\StartUp

Регистрирует себя в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "sassfix"="%System%\package.exe"

Удаляет ключи реестра связанные с червём Sasser:

avserve
avserve2.exe
avvserrve32
BagleAV
Drvddll.exe
drvddll.exe
Drvddll_exe
drvsys
drvsys.exe
Generic Host Service
Gremlin
lsasss
lsasss.exe
MapiDrv
Microsoft Update
navapsrc.exe
skynetave.exe
SkynetRevenge
soundcontrl
ssgrate
ssgrate.exe
System Updater Service
Taskmon
TempCom
Video
Video Process
Window
windows
Windows Drive Compatibility
WinMsrv32

Сканирует сети, выбирая произвольные ip-адреса, на предмет наличия на 5554 порту ftp-компоненты червя Sasser.

При нахождении такого компьютера, червь отсылает на него эксплоит уязвимости и заражает систему, после чего запускает на порту 8967 командную оболочку.

Также на порт 9898 червь устанавливает backdoor для приема внешних команд.

Вредоносные программы

Вирусы и черви

Net-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях.

Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы).

Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение.

Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.

Другие названия

Net-Worm.Win32.Dabber.a («Лаборатория Касперского») также известен как:

Worm.Win32.Dabber.a («Лаборатория Касперского»),
Virus: W32/Dabber.worm.a (McAfee)
W32/Dabber-A (Sophos)
Worm.Dabber.A (ClamAV)
W32/Dabber.A.worm (Panda)
W32/Dabber.A (FPROT)
Worm:Win32/Dabber (MS(OneCare))
Win32.HLLW.Dabber (DrWeb)
Win32/Dabber.A worm (Nod32)
Win32.Worm.Dabber.A (BitDef7)
Worm.Dabber.A (VirusBuster)
Win32:Dabber [Wrm] (AVAST)
Net-Worm.Win32.Dabber (Ikarus)
Worm/Dabber.A (AVG)
Worm/Dabber.A (AVIRA)
W32.Dabber.A (NAV)
Dabber.A (Norman)
Worm.Win32.Dabber.a (Rising)
Net-Worm.Win32.Dabber.a [AVP] (FSecure)
WORM_Generic.DIT (TrendMicro)