Технические детали
Вредоносная программа, распространяющая себя в компьютерных сетях. Является приложением Windows (PE-EXE файл). Имеет размер 376832 байта. Упакована при помощи UPX. Распакованный размер — около 701 КБ. Написана на C++.
Инсталляция
Червь выполняет свою инсталляцию, создание службы или удаление созданной службы, в зависимости от параметра, с которым был запущен:
Запуск червя как службы с именем "ipz":
--service
/s
Удаление службы червя:
--remove
/r
Инсталляция червя:
--install
/i
Деструктивная активность
При создании своей службы с именем:
Intelligent p2p zombie
в ключ реестра добавляет следующую информация, позволяющую вредоносу запускаться на исполнение при каждом следующем старте операционной системы:
[HKLM/System/CurrentControlSet/Services/ipz]
"DisplayName" = "Intelligent p2p zombie"
"ImagePath" = "путь к файлу червя --service"
"Start" = "2"
Создает файл-флаг в каталоге, из которого был запущен червь:
%CurrentDir%/ipz-db.bin
Данный файл имеет размер 4520 байт и не является вредоносным.
Распространение
Для распространения использует популярную программу "Radmin", используемую для удалённого администрирования. Червь отправляет ICMP пакеты на IP-адреса подсети, в которой находится зараженный компьютер, и сканирует порт используемый программой "Radmin". Открытый порт сигнализирует, что на данном компьютере запущена "Radmin", после этого червь осуществляет подбор пароля к компьютеру жертвы по нижеприведенному словарю.
Имя пользователя:
1
admin
q
123
111111
123456
Admin
administrator
Administrator
user
User
billgates
a
microsoft
radmin
internet
host
computer
skynet
login
Пароль:
1
q
a
123
1234
123456
12345678
123456789
123123
12341234
12121212
121212
password
87654321
secret
radmin
monkey
qqqqqq
qqqqqqqq
111111
11111111
aaaaaa
aaaaaaaa
qwerty
654321
0987654321
america
windows
microsoft
machine
minigun
lucifer
1234567890
warcraft
overmind
enigma
elephant
qazwsx
qazwsxedc
topsecret
doomsday
fuckyou
qweasd
qweasdzxc
bender
american
internet
1q2w3e
1q2w3e4r
1q2w3e4r5t
starcraft
qwertyui
qwertyuiop
metall
washington
people
asdfghjk
asdfghjkl
ignore
gothic
horizon
skynet
anchorite
godzilla
aeroplane
boeing
emokid
atomic
nuclear
reactor
emoboy
google
youtube
mozilla
wireless
missile
warhammer
sunlight
children
guitar
atmosphere
prototype
evangellion
kamikaze
youandme
freedom
zeitgeist
hardcore
unknown
secure
rocketman
jetpack
fighter
superman
battle
pilotage
aerodynamics
disable
enable
solder
shcool
folder
happy
happiness
aerial
receiver
transmitter
tranciever
microchip
atmel
xlinx
altera
income
incoming
supply
imageboard
predator
propeller
alien
sattelite
archer
thieft
stinger
nigger
thunderbird
hiroshima
israel
scientology
brentcorrigan
insane
pretty
nekoboy
shadow
latitude
longtitude
altitude
copyright
copyleft
deltaplane
helicopter
creative
creator
hippie
hitler
stalin
kremlin
whitehouse
revolution
war
grinder
bullshit
emperor
deathstar
darthvader
burning
hell
deathcore
processor
memory
keyboard
mouse
cdrom
harddisk
display
speaker
annihilation
destroy
elimination
domination
router
motorbike
negative
positive
fallout
kiss
music
forward
backward
tolerance
callofduty
rastaman
smoking
lineage2
coolface
trollface
utorrent
cannon
satan
jesus
thread
username
desu
billgates
brutal
terminator
police
europe
ubuntu
debian
samael
skywalker
oracle
suxxxx
lurkmore
При удачном подборе логина червь копирует себя в системный каталог с именем "ipz.exe":
%System%/ipz.exe
После успешного копирования запускает данный файл на исполнение. Также червь использует 310 порт, для передачи данных между зараженными компьютерами.
Интенсивная работа червя с сетью приводит к затруднениям доступа к сетевым ресурсам зараженной сети при наличии большого количества зараженных пользователей.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Отключить компьютер от сети.
- Остановить службу с именем "ipz" следующей командой в командной строке:
net stop ipz
- Удалить файл:
%System%/ipz.exe
- Удалить ключ системного реестра:
[HKLM/System/CurrentControlSet/Services/ipz]
- Очистить каталог Temporary Internet Files.
- Изменить пароль к программе "Radmin" на более криптостойкий.
- Подключить компьютер к сети.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|