2003年8月14日更新情報
・AVERTは、W32/Randbot.wormの新しい亜種の報告を受けました。この新しい亜種は、定義ファイル4273以降でW32/Randex.worm.c(個別のワーム名ではなく、ワームの総称です)として検出されます。
・この新しい亜種は下記の亜種に非常によく似ており、IRC-Sdbotをベースに作成されています。主な相違点は以下のとおりです。
- ファイルサイズ:60,416バイト
- インストールファイル名: PH32.EXE(インストールディレクトリは、下記のディレクトリと同じ)
- ネットワーク繁殖のファイル名:NETFD32.EXE(ターゲットのリモートディレクトリは、下記のディレクトリと同じ)
- Mutexオブジェクト:PIEBOT-FE
- レジストリキーのフック
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "Winux Piriax Service" = PH32.EXE
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices "Winux Piriax Service" = PH32.EXE
- ネットワーク繁殖で、使用するパスワードの種類が少ない。
・W32/Randbot.wormには複数の亜種があり、既存のIRCトロイの木馬IRC-Sdbotをベースに作成されています。
インストール
・W32/Randbot.wormがターゲットマシンで実行されると、Windows SystemフォルダにGESFM32.EXEというファイル名で自身をインストールします。
例:
C:\WINNT\SYSTEM32\GESFM32.EXE(40,960バイト)
・monk.10という名前のMutexオブジェクトを作成します。
・以下のレジストリキーを追加して、システムの起動をフックします。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "Microsoft Netview" = GESFM32.EXE
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices "Microsoft Netview" = GESFM32.EXE
・リモートのIRCサーバ(IPアドレスは、ワームに内蔵)に接続し、IRCチャネルに接続して以下のようなコマンドを待ちます。
- update
- clone
- download
- ntscan/ntstop:感染するリモートマシンのスキャンを開始
- syn:SYNフラッド攻撃を仕掛ける(TCP SYNパケットを送信、ウインドウサイズの設定は55,808バイト)
- sysinfo:システム情報(CPU、ダイアルアップ、OSなど)の検索
ネットワーク繁殖
・(IRCを介して)適切なコマンドを受信すると、簡単なパスワードを使用するリモートマシンを悪用してアクセスを試みます。ランダムに作成されたIPアドレスのリモートマシンをターゲットにします。
・以下のパスワードを使用して、リモートマシンにアクセスします。
- server
- !@#$%^&*
- !@#$%^&
- !@#$%^
- !@#$%
- asdfgh
- asdf
- !@#$
- 654321
- 123456
- 1234
- 123
- 111
- 1
- root
- admin
・アクセスに成功すると、リモートマシンの以下のロケーションにMSMONK32.EXEというファイル名でワームをコピーします。
- \C$\WINNT\SYSTEM32\MSMONK32.EXE
- \ADMIN$\SYSTEM32\MSMONK32.EXE
・ワームを実行するために、リモートマシンにジョブをスケジュールします(ターゲットマシンで実行するスケジュールサービスを利用します)。
注:Windows 9x/MEマシンは、このジョブのスケジュール機能をサポートしていません。
