Worm.Win32.Zombaque.bj
| Время детектирования | 06 сен 2011 12:28 MSK |
| Время выпуска обновления | 06 сен 2011 15:01 MSK |
| Описание опубликовано | 27 дек 2011 18:40 MSK |
Технические детали
Вредоносная программа, распространяющая себя в компьютерных сетях. Является приложением Windows (PE-EXE файл). Имеет размер 376832 байта. Упакована при помощи UPX. Распакованный размер — около 701 КБ. Написана на C++.
Инсталляция
Червь выполняет свою инсталляцию, создание службы или удаление созданной службы, в зависимости от параметра, с которым был запущен:
- Запуск червя как службы с именем "ipz":
--service /s
- Удаление службы червя:
--remove /r
- Инсталляция червя:
--install /i
Деструктивная активность
При создании своей службы с именем:
Intelligent p2p zombieв ключ реестра добавляет следующую информация, позволяющую вредоносу запускаться на исполнение при каждом следующем старте операционной системы:
[HKLM\System\CurrentControlSet\Services\ipz] "DisplayName" = "Intelligent p2p zombie" "ImagePath" = "<путь к файлу червя> --service" "Start" = "2"Создает файл-флаг в каталоге, из которого был запущен червь:
%CurrentDir%\ipz-db.binДанный файл имеет размер 4520 байт и не является вредоносным.
Распространение
Для распространения использует популярную программу "Radmin", используемую для удалённого администрирования. Червь отправляет ICMP пакеты на IP-адреса подсети, в которой находится зараженный компьютер, и сканирует порт используемый программой "Radmin". Открытый порт сигнализирует, что на данном компьютере запущена "Radmin", после этого червь осуществляет подбор пароля к компьютеру жертвы по нижеприведенному словарю.
Имя пользователя:
1 admin q 123 111111 123456 Admin administrator Administrator user User billgates a microsoft radmin internet host computer skynet loginПароль:
1 q a 123 1234 123456 12345678 123456789 123123 12341234 12121212 121212 password 87654321 secret radmin monkey qqqqqq qqqqqqqq 111111 11111111 aaaaaa aaaaaaaa qwerty 654321 0987654321 america windows microsoft machine minigun lucifer 1234567890 warcraft overmind enigma elephant qazwsx qazwsxedc topsecret doomsday fuckyou qweasd qweasdzxc bender american internet 1q2w3e 1q2w3e4r 1q2w3e4r5t starcraft qwertyui qwertyuiop metall washington people asdfghjk asdfghjkl ignore gothic horizon skynet anchorite godzilla aeroplane boeing emokid atomic nuclear reactor emoboy google youtube mozilla wireless missile warhammer sunlight children guitar atmosphere prototype evangellion kamikaze youandme freedom zeitgeist hardcore unknown secure rocketman jetpack fighter superman battle pilotage aerodynamics disable enable solder shcool folder happy happiness aerial receiver transmitter tranciever microchip atmel xlinx altera income incoming supply imageboard predator propeller alien sattelite archer thieft stinger nigger thunderbird hiroshima israel scientology brentcorrigan insane pretty nekoboy shadow latitude longtitude altitude copyright copyleft deltaplane helicopter creative creator hippie hitler stalin kremlin whitehouse revolution war grinder bullshit emperor deathstar darthvader burning hell deathcore processor memory keyboard mouse cdrom harddisk display speaker annihilation destroy elimination domination router motorbike negative positive fallout kiss music forward backward tolerance callofduty rastaman smoking lineage2 coolface trollface utorrent cannon satan jesus thread username desu billgates brutal terminator police europe ubuntu debian samael skywalker oracle suxxxx lurkmoreПри удачном подборе логина червь копирует себя в системный каталог с именем "ipz.exe":
%System%\ipz.exeПосле успешного копирования запускает данный файл на исполнение. Также червь использует 310 порт, для передачи данных между зараженными компьютерами.
Интенсивная работа червя с сетью приводит к затруднениям доступа к сетевым ресурсам зараженной сети при наличии большого количества зараженных пользователей.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Отключить компьютер от сети.
- Остановить службу с именем "ipz" следующей командой в командной строке:
net stop ipz
- Удалить файл:
%System%\ipz.exe
- Удалить ключ системного реестра (
): [HKLM\System\CurrentControlSet\Services\ipz]
- Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (
): %Temporary Internet Files%
- Изменить пароль к программе "Radmin" на более криптостойкий.
- Подключить компьютер к сети.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (
).
НОВОЕ НА САЙТЕ
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Обновление ориентировано н... Антивирус Dr.Web
4 апреля 2024 года
1 апреля 2024 года
1 апреля 2024 года