-
Worm.Win32.Autorooter
鎖定
Worm.Win32.Autorooter是一款蠕蟲,大小為約為114KB。
- 外文名
- Worm.Win32.Autorooter
- 屬 性
- Win32 SFX ZIP自解壓包
- 檢測為
- Exploit.Win32.DCom
- 大 小
- 約為114KB
- 類 型
- 蠕蟲
Worm.Win32.Autorooter簡介
這是一個多組件構成的Win32蠕蟲,它被設計成通過本地或互聯網進行傳播,在當前版本中它的傳播歷程已經停止。
它的名字來源於自身的主要組件的文本字符串
rpc autorooter by ERIC
RPC autorooter
Autorooter利用Windows的DCOM RPC服務的漏洞,在Microsoft Security Bulletin MS03-026中有關於該漏洞的詳細描述。
它是Win32 SFX ZIP自解壓包,約為114KB,含有以下三個文件:
· rpc.exe - 41KB, 主要組件,檢測為Worm.Win32.Autorooter
· tftpd.exe - 144KB, 合法的FTP服務器
· rpctest.exe - 95KB,開發工具,檢測為Exploit.Win32.DCom
SFX壓縮包自解壓後會在C:根目錄下釋放以上三個文件,並動行rpc.exe
Worm.Win32.Autorooter主要組件
Rpc.exe組件會運行tftpd.exe並設法從遠程站點上下載lolx.exe文件,lolx.exe是典型的後門程序,它會被AVP檢測為Backdoor.SdBot.gen病毒
然後該蠕蟲會設法通過445端口與隨機產生的IP地址產生連接,這個隨機的IP地址(a.b.c.d)通過以下的算法產生:
'a'值會從以下的數值列表中選擇:
24, 12, 211, 217, 218, 220, 4, 68, 165, 65, 213, 64, 208, 128
'b'值在0到255之間隨時選擇,'c' 'd'的值是1到255中的所有數值。
例如:如果'a'是68,'b'是120,那麼該蠕蟲就會在68.120.0.1 - 68.120.255.255這個範圍內嘗試連接所有的機器。
它通過445端口連接到遠程計算機,然後把rpctest.exe文件傳送給對方,這個組件將造成感染機器的緩衝區溢出,並通過57005端口打開遠程計算機的shell界面。
rpctest.exe 組件
這是一個開發工具,它含有以下文本字符串:
USE THE FORZ LUKE!
tftd.exe 組件
這是一個合法的HaneWin TFTP服務器,它開放69端口下載後門程序。
Worm.Win32.Autorooter總結
我們相信現在的這個版本僅僅是個測試版,在新版中它會含有足夠的自我複製能力,病毒作者可能的目標是先廣泛散佈該病毒,為將來利用。
- 詞條統計
-
- 瀏覽次數:次
- 編輯次數:8次歷史版本
- 最近更新: 开星人98