Latest Threats 18/09/2003 Backdoor.IRC.Aladinz.D

Συζητήσεις και νέα σχετικά με την ασφάλεια των υπολογιστών και των virus που τους προσβάλουν...

Συντονιστές: Super-Moderators, Software & Hardware Moderators

Απάντηση
Άβαταρ μέλους
Expl0it
Honorary Member
Δημοσιεύσεις: 2364
Εγγραφή: 25 Αύγ 2003 23:24
Τοποθεσία: home/sweet/home

Latest Threats 18/09/2003 Backdoor.IRC.Aladinz.D

Δημοσίευση από Expl0it » 22 Σεπ 2003 03:28

Backdoor.IRC.Aladinz.D

* Σημείωση : Οι πληροφορίες που δίνονται για τον καθαρισμό του ιού απο τον υπολογιστή σας,
είναι για προγράμματα αντιμετώπισης ιών της SYMANTEC


Ο Backdoor.IRC.Aladinz.D είναι ένας IRC-based Trojan Horse που προσπαθεί να διαδωθεί μέσω των Windows NT/2000/XP δικτύων. Μπάινει μόνος του, εξάγοντας ένα αρχείο, το οποίο περιλαμβάνει έναν γενικό χρήστη mIRC, επιτρέποντας στους υπολογιστές που δεν έχουν εγκατεστημένο το mIRC να χρησιμοποιηθούν για να εκτελέσουν τη διανεμημένη άρνηση των επιθέσεων υπηρεσιών, "Distributed Denial of Service" (DDOS).

Επίσης γνωστός και ως : W32/Randon.Worm.p[McAfee]

Λειτουργικά Συστήματα που έχουν μολυνθεί : Windows 2000, Windows NT, Windows XP

Λειτουργικά Συστήματα που δεν έχουν μολυνθεί : Linux, Macintosh, OS/2, UNIX, Windows 3.x


ΤΕΧΝΙΚΕΣ ΛΕΠΤΟΜΕΡΙΕΣ

Όταν το self-extracting archive εκτελείται, κάνει τα εξής :

1) Ρίχνει τα ακόλουθα συστατικά στο φάκελο %System%

* Σημείωση : Το %System% είναι μια μεταβλητή. Το worm εντοπίζει τo φάκελο συστημάτων και αντιγράφεται σε εκείνη την θέση. Εξ ορισμού, αυτό είναι C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), ή C:\Windows\System32 (Windows XP).

* Windows.exe, που είναι ένα ASPacked mIRC client. Το μέγεθός του είναι, 521,728 bytes.

* Psexec.exe, που είναι ένα UPX-packed remote execution utility και χρησιμοποιήτε για να τρέξει κάποιες λειτουργίες. Το μέγεθός του είναι, 35,328 bytes.

* Exit.exe, που είναι ένα UPX-packed utility και χρησιμοποίτε για να παρακολουθεί κάποιες λειτοργίες. Το μέγεθός του είναι, 25,600 bytes.

* Secure.exe, που είναι ένα UPX-packed utility που χρησιμοποιήτε για να κρείβει κάποια παράθυρα. Το μέγεθός του είναι, 19,456 bytes.

* Σημείωση : Τα προαναφερθέντα αρχεία δεν είναι προερχόμενα από ιό και οι νόμιμες εφαρμογές μπορούν να τα χρησιμοποιήσουν. Τα προϊόντα αντιμετώπισης ιών της Symantec δεν τους ανιχνεύουν όπως προερχόνται από τον ιό.

* Secure.bat, που είναι ένα batch αρχείο που χρησιμοποιήτε για να διαγράψει κάποια open shares. Το μέγεθός του είναι, 1,063 bytes.

* Spread.bat, που είναι ένα batch αρχείο που χρησιμοποιήτε για να κάνει μόνο του log και να τρέχει κάποιες λειτουργίες. Το μέγεθός του είναι, 10,753 bytes, Και το Norton AntiVirus το εντοπίζει ώς : Backdoor.IRC.Aladinz.D.

Ο Backdoor.IRC.Aladinz.D χρησιμοποιεί αυτό το batch αρχείο για να συνδεθεί με τον remote IPC$ και εξετάζει κάθε μια από τις IP που αυτό βρίσκει, χρησιμοποιώντας διάφορα ζευγάρια ονόματος χρήστη και κωδικού πρόσβασης.

Για παράδειγμα : Το Spread.bat μπορεί να δοκιμάσει να δυνδιάσει το όνομα χρήστη "Administrator" με αυτούς τους κωδικούς χρήστη :

xxyyzz
<blank>
admin
Administrator
test
test123
temp
temp123
pass
password
password123
secret
changeme
123456
654321
abc123
red123
admin123
qwertyuiop
1
123
12345
54321
asdf

* Το System.sys, που είναι ένα IRC script και χρησιμοποιείται για να αντιγράψει το Trojan downloader (neci.exe) στο remote network shares. Το μέγεθός του είναι, 35,232 bytes, και το Norton AntiVirus το ανιχνέυει ώς Backdoor.IRC.Aladinz.D.

* Το Neci.exe, που είναι ένα FSG-packed Win32 εκτελέσιμο αρχείο που κατεβάζει τον Backdoor.IRC.Aladinz.D installer από μερικά προκαθορισμένα Web Sites. Το μέγεθός του είναι, 1,104 bytes, και το Norton AntiVirus το ανιχνέυει ώς Download.Trojan.

* Το D32.sys, που είναι ένα mIRC αρχείο διαμόρφωσης που χρησιμοποιεί ο Trojan για να φορτώσεικαι άλλα IRC scripts, όπως τα read.sys, root.sys, system.sys, και winnt.sys. Το μέγεθός του είναι, 2,499 bytes και το Norton AntiVirus το ανιχνέυει ώς Backdoor.IRC.Aladinz.D.

* Το Read.sys, που είναι ένα IRC script. Το μέγεθός του είναι, 232 bytes.

* Το Root.sys, που είναι ένα IRC script που ο mIRC client χρησιμοποιεί για να πραγματοποιήσει κάποιες επιθέσεις DDOS. Το μέγεθός του είναι, 29,999 bytes, και το Norton AntiVirus το ανιχνέυει ώς IRC Trojan.

* Το Zr.bat, που είναι ένα batch αρχείο που χρησιμοποιήται για να προσθέσει/διαγράψει/εμφανίσει τον χρήστη και τις τοπικές ομάδες. Το μέγεθός του είναι, 168 bytes.

* Το Winnt.sys, που είναι ένα άδειο αρχείο !

2) Προσθέτει την τιμή:

"windows"="%System%\windows.exe"

Στο Registry Key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

'Ετσι ώστε το mIRC client program να τρέχει κάθε φορά που ξεκινάτε τα Windows.

3) Δημιουργεί το subkey, mIRC, Στο Registry Κey:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\

Και προσθέτει τις παρακάτω τιμές σε αυτό το subkey :

"DisplayName"="mIRC"
"UninstallString"="%System%\windows.exe -uninstall"

4) Δημιουργεί το subkey, .cha,.chat, Στην Registry:

HKEY_CLASSES_ROOT

Και προσθέτει τις παρακάτω τιμές σε αυτό το subkey :
"Default"="Chatfile"

ΟΔΗΓΕΙΕΣ ΚΑΘΑΡΙΣΜΟΥ ΤΟΥ Backdoor.IRC.Aladinz.D ΑΠΟ ΤΟΝ ΥΠΟΛΟΓΙΣΤΗ ΣΑΣ

1) Κατεβάστε τα τελευταία Virus Definitions
2) Κάντε ένα Full System Scan Και :

* Διαγράψτε Όλα Τα Αρχεία Που Θα Βρεθούν Ώς Backdoor.IRC.Aladinz.D, IRC Trojan, ή Download.Trojan

* Χειροκίνιτα διαγράψτε όλα τα αρχεία δεσμης και τα αρχεία εντολών IRC που εμφανίζονται στην λίστα στο τμήμα "τεχνικών λεπτομερειών".

3) Διαγράψτε τις τιμές που προστέθηκαν στην Registry.


Για περισσότερες πληροφορίες σχετικά με τον Backdoor.IRC.Aladinz.D πατήστε ΕΔΩ.


Filter

Εικόνα

Greek Web Angel

Απάντηση

Επιστροφή στο “Security, antiVirus & antiSpyWare”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες