Con Worm này lây lan thông qua mạng local và thiết bị lưu trữ di động
như USB. Nó thực chất là một file PE DLL. Dung lượng của nó vào khoảng
155KB đến 165 KB. Nó được đóng gói bằng UPX.
Cài đặt
Nó copy file thực thi của nó đến thư mục hệ thống của Windows như sau:
<blockquote dir="ltr" style="margin-right: 0px;">
%System%<rnd>.dll
</blockquote>
với <rnd> là một chuỗi ký hiệu ngẫu nhiên.
Đồng thời nó tạo ra một dịch vụ để đảm bảo nó sẽ được kích hoạt mỗi khi
Windows khởi động trên hệ thống của nạn nhân. Các khóa registry sau sẽ
được tạo ra:
<blockquote dir="ltr" style="margin-right: 0px;">
[HKLMSYSTEMCurrentControlSetServices etsvcs]
</blockquote>
Nó cũng thay đổi giá trị registry sau:
<blockquote dir="ltr" style="margin-right: 0px;">
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] “netsvcs” = “<original value> %System%<rnd>.dll”
</blockquote>
Sự lây lan trên mạng
Khi tiêm nhiễm vào máy tính, nó sẽ kích hoạt HTTP server trên một cổng
TCP ngẫu nhiên. Cổng này sau đó sẽ được sử dụng để tải file thực thi
của con worm này đến một máy tính khác.
Nó sẽ lấy địa chỉ IP của những máy tính trên cùng mạng và tấn công chúng thông qua lỗi tràn bộ đệm trên dịch vụ Server.
Nó gửi một yêu cầu RPC lừa đảo đến một máy tính ở xa, yêu cầu này sẽ làm tràn bộ đệm khi hàm wcscpy_s được gọi trong thư viện netapi32.dll. Điều này làm kích hoạt một đoạn code để download con worm này về, kích hoạt và cài đặt nó lên những hệ thống mới.
Để khai thác lỗ hổng được mô tả ở trên, worm này sẽ nỗ lực kết nối đến
một tài khoản administrator trên máy tính ở xa. Nó sử dụng những
password dưới đây để kết nối đến tài khoản này theo phương pháp “brute force”
<blockquote dir="ltr" style="margin-right: 0px;">
</blockquote>
Lây lan thông qua phương tiện lưu trữ di động (như USB)
Nó copy file thực thi của nó:
<blockquote dir="ltr" style="margin-right: 0px;">
<X>:RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665<rnd>.vmx
</blockquote>
với rnd là một chuỗi các kí hiệu ngẫu nhiên (chữ in thường); X là ổ đĩa.
Nó cũng đồng thời thay thế file sau trong mỗi thư mục gốc của ổ đĩa:
<blockquote dir="ltr" style="margin-right: 0px;">
<X>:utorun.inf
</blockquote>
Điều này để đảm bảo rằng file thực thi của nó sẽ được chạy mỗi khi người dùng mở ổ đĩa bị tiêm nhiễm sử dụng Windows Explorer
Hoạt động
Khi được kích hoạt, nó sẽ tiêm nhiễm đoạn mã của nó vào không gian địa chỉ của một trong những tiến trình hệ thống “svchost.exe”. Đoạn mã này sẽ chịu trách nhiệm về việc load vào những tính năng nguy hiểm của worm.
- Vô hiệu hóa System Restore.
- Khóa các địa chỉ bao gồm chuỗi sau:
<blockquote dir="ltr" style="margin-right: 0px;">
indowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus
</blockquote>
Đồng thời nó cũng download một file từ đường link dưới đây:
<blockquote dir="ltr" style="margin-right: 0px;">
http://trafficconverter.biz/*****/antispyware/loadadv.exe
</blockquote>
File này sẽ được lưu trữ trong thư mục hệ thống của Windows và sau đó sẽ kích hoạt.
Ngoài ra Worm này cũng download các file từ đường link dưới đây:
<blockquote dir="ltr" style="margin-right: 0px;">
http://<URL>/search?q=<%rnd2%>
</blockquote>
rnd2
là một số ngẫu nhiên. URL là một đường link được tạo nên bởi một thuật
toán đặc biệt sử dụng ngày tháng hiện tại. Worm này lấy về ngày tháng
hiện tại từ một trong các site sau:
<blockquote dir="ltr" style="margin-right: 0px;">
http://www.w3.org
http://www.ask.com
http://www.msn.com
http://www.yahoo.com
http://www.google.com
http://www.baidu.com
</blockquote>
Những file được download bởi worm này sẽ được lưu vao trong thư mục hệ thống của Windows với tên gốc của nó.
Hướng dẫn gỡ bỏ
Nếu máy tính của bạn chưa có một trình antivirus được cập nhật bản mới
nhất, hoặc chưa có một giải pháp antivrus hiệu quả, bạn có thể làm theo
các hướng dẫn sau:
1. Xóa các khóa registry dưới đây:
<blockquote dir="ltr" style="margin-right: 0px;">
[HKLMSYSTEMCurrentControlSetServices etsvcs]
</blockquote>
2. Xóa “%Sytem%<rnd>.dll” từ tham số khóa registry dưới đây:
<blockquote dir="ltr" style="margin-right: 0px;">
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] "netsvcs"
</blockquote>
3. Khởi động lại máy tính
4. Xóa file worm gốc (đường dẫn phụ thuộc vào cách worm này thâm nhập vào máy tính như thế nào)
5. Xóa file sau:
<blockquote dir="ltr" style="margin-right: 0px;">
%System%<rnd>.dll
</blockquote>
6. Xóa các file sau trong thiết bị lưu trữ di động:
<blockquote dir="ltr" style="margin-right: 0px;">
<X>:utorun.inf <X>:RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665<rnd>.vmx
</blockquote>
7. Download và cài đặt bản cập nhật mới cho hệ điều hành tại đây.
8. Cập nhật cơ sở dữ liệu của trình antivirus trên máy tính và thực hiện việc quét “full scan” trên máy tính của bạn.
(Sưu tầm)
như USB. Nó thực chất là một file PE DLL. Dung lượng của nó vào khoảng
155KB đến 165 KB. Nó được đóng gói bằng UPX.
Cài đặt
Nó copy file thực thi của nó đến thư mục hệ thống của Windows như sau:
<blockquote dir="ltr" style="margin-right: 0px;">
%System%<rnd>.dll
</blockquote>
với <rnd> là một chuỗi ký hiệu ngẫu nhiên.
Đồng thời nó tạo ra một dịch vụ để đảm bảo nó sẽ được kích hoạt mỗi khi
Windows khởi động trên hệ thống của nạn nhân. Các khóa registry sau sẽ
được tạo ra:
<blockquote dir="ltr" style="margin-right: 0px;">
[HKLMSYSTEMCurrentControlSetServices etsvcs]
</blockquote>
Nó cũng thay đổi giá trị registry sau:
<blockquote dir="ltr" style="margin-right: 0px;">
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] “netsvcs” = “<original value> %System%<rnd>.dll”
</blockquote>
Sự lây lan trên mạng
Khi tiêm nhiễm vào máy tính, nó sẽ kích hoạt HTTP server trên một cổng
TCP ngẫu nhiên. Cổng này sau đó sẽ được sử dụng để tải file thực thi
của con worm này đến một máy tính khác.
Nó sẽ lấy địa chỉ IP của những máy tính trên cùng mạng và tấn công chúng thông qua lỗi tràn bộ đệm trên dịch vụ Server.
Nó gửi một yêu cầu RPC lừa đảo đến một máy tính ở xa, yêu cầu này sẽ làm tràn bộ đệm khi hàm wcscpy_s được gọi trong thư viện netapi32.dll. Điều này làm kích hoạt một đoạn code để download con worm này về, kích hoạt và cài đặt nó lên những hệ thống mới.
Để khai thác lỗ hổng được mô tả ở trên, worm này sẽ nỗ lực kết nối đến
một tài khoản administrator trên máy tính ở xa. Nó sử dụng những
password dưới đây để kết nối đến tài khoản này theo phương pháp “brute force”
<blockquote dir="ltr" style="margin-right: 0px;">
99999999 9999999 999999 99999 9999 999 99 9 88888888 8888888 888888 88888 8888 888 88 8 77777777 7777777 777777 77777 7777 777 77 7 66666666 6666666 666666 66666 6666 666 66 6 55555555 5555555 555555 55555 5555 555 55 5 44444444 4444444 444444 44444 4444 444 44 4 33333333 3333333 333333 33333 3333 333 33 3 22222222 2222222 222222 22222 2222 222 22 2 11111111 1111111 111111 11111 1111 111 11 1 00000000 0000000 00000 0000 000 00 0987654321 987654321 87654321 7654321 654321 54321 4321 321 21 12 super secret server computer owner backup database lotus oracle business manager temporary ihavenopass nothing nopassword nopass Internet internet example sample love123 boss123 work123 home123 mypc123 temp123 test123 qwe123 abc123 pw123 root123 pass123 pass12 pass1 admin123 admin12 admin1 password123 password12 password1 default foobar foofoo temptemp temp testtest test rootroot root | fuck zzzzz zzzz zzz xxxxx xxxx xxx qqqqq qqqq qqq aaaaa aaaa aaa sql file web foo job home work intranet controller killer games private market coffee cookie forever freedom student account academia files windows monitor unknown anything letitbe letmein domain access money campus explorer exchange customer cluster nobody codeword codename changeme desktop security secure public system shadow office supervisor superuser share adminadmin mypassword mypass pass Login login Password password passwd zxcvbn zxcvb zxccxz zxcxz qazwsxedc qazwsx q1w2e3 qweasdzxc asdfgh asdzxc asddsa asdsa qweasd qwerty qweewq qwewq nimda administrator Admin admin a1b2c3 1q2w3e 1234qwer 1234abcd 123asd 123qwe 123abc 123321 12321 123123 1234567890 123456789 12345678 1234567 123456 12345 1234 123 |
</blockquote>
Lây lan thông qua phương tiện lưu trữ di động (như USB)
Nó copy file thực thi của nó:
<blockquote dir="ltr" style="margin-right: 0px;">
<X>:RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665<rnd>.vmx
</blockquote>
với rnd là một chuỗi các kí hiệu ngẫu nhiên (chữ in thường); X là ổ đĩa.
Nó cũng đồng thời thay thế file sau trong mỗi thư mục gốc của ổ đĩa:
<blockquote dir="ltr" style="margin-right: 0px;">
<X>:utorun.inf
</blockquote>
Điều này để đảm bảo rằng file thực thi của nó sẽ được chạy mỗi khi người dùng mở ổ đĩa bị tiêm nhiễm sử dụng Windows Explorer
Hoạt động
Khi được kích hoạt, nó sẽ tiêm nhiễm đoạn mã của nó vào không gian địa chỉ của một trong những tiến trình hệ thống “svchost.exe”. Đoạn mã này sẽ chịu trách nhiệm về việc load vào những tính năng nguy hiểm của worm.
- Vô hiệu hóa System Restore.
- Khóa các địa chỉ bao gồm chuỗi sau:
<blockquote dir="ltr" style="margin-right: 0px;">
indowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus
</blockquote>
Đồng thời nó cũng download một file từ đường link dưới đây:
<blockquote dir="ltr" style="margin-right: 0px;">
http://trafficconverter.biz/*****/antispyware/loadadv.exe
</blockquote>
File này sẽ được lưu trữ trong thư mục hệ thống của Windows và sau đó sẽ kích hoạt.
Ngoài ra Worm này cũng download các file từ đường link dưới đây:
<blockquote dir="ltr" style="margin-right: 0px;">
http://<URL>/search?q=<%rnd2%>
</blockquote>
rnd2
là một số ngẫu nhiên. URL là một đường link được tạo nên bởi một thuật
toán đặc biệt sử dụng ngày tháng hiện tại. Worm này lấy về ngày tháng
hiện tại từ một trong các site sau:
<blockquote dir="ltr" style="margin-right: 0px;">
http://www.w3.org
http://www.ask.com
http://www.msn.com
http://www.yahoo.com
http://www.google.com
http://www.baidu.com
</blockquote>
Những file được download bởi worm này sẽ được lưu vao trong thư mục hệ thống của Windows với tên gốc của nó.
Hướng dẫn gỡ bỏ
Nếu máy tính của bạn chưa có một trình antivirus được cập nhật bản mới
nhất, hoặc chưa có một giải pháp antivrus hiệu quả, bạn có thể làm theo
các hướng dẫn sau:
1. Xóa các khóa registry dưới đây:
<blockquote dir="ltr" style="margin-right: 0px;">
[HKLMSYSTEMCurrentControlSetServices etsvcs]
</blockquote>
2. Xóa “%Sytem%<rnd>.dll” từ tham số khóa registry dưới đây:
<blockquote dir="ltr" style="margin-right: 0px;">
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] "netsvcs"
</blockquote>
3. Khởi động lại máy tính
4. Xóa file worm gốc (đường dẫn phụ thuộc vào cách worm này thâm nhập vào máy tính như thế nào)
5. Xóa file sau:
<blockquote dir="ltr" style="margin-right: 0px;">
%System%<rnd>.dll
</blockquote>
6. Xóa các file sau trong thiết bị lưu trữ di động:
<blockquote dir="ltr" style="margin-right: 0px;">
<X>:utorun.inf <X>:RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665<rnd>.vmx
</blockquote>
7. Download và cài đặt bản cập nhật mới cho hệ điều hành tại đây.
8. Cập nhật cơ sở dữ liệu của trình antivirus trên máy tính và thực hiện việc quét “full scan” trên máy tính của bạn.
(Sưu tầm)