بدافزار Net-Worm.Win32.Padobot.m

چهارشنبه چهارم دی ۱۳۹۲ ساعت 8:42 توسط موسسه ترسیم رایانه شرق |

نحوه عملكرد بدافزار Net-Worm.Win32.Padobot.m :

1. تاریخچه بدافزار :

این Worm اولین باردر ژئون 2004 شناسایی شد ودر قالب Worm رده بندی گردیده است. این كرم از پورت های پروتكل TCP كه به صورت تصادفی باز است برای انتقال داده استفاده می كندو یك backdoor ایجاد می كند تا بدافزار هر زمان كه بخواهد به سیستم قربانی دسترسی داشته باشد.

2. میزان تهدید :

Risk Level: Low

3. Hash بدافزار :

7d99b0e9108065ad5700a899a1fe3441

4. روشهای انتشار :

1. آسیب پذیری های مرتبط با Lsass

5. نشانه های یك سیستم آلوده :

1. كند شدن سیستم
2. بازشدن عكسهای ناخواسته
3. كاربرد نامتعارف اینترنت

6. تغییر در فایل های سیستم قربانی :

C:\boot.sys - (approx. 16 KB). This file is infected with Trojan-Spy.Win32.Qukart.s

%System%\.dll - (approx. 6 KB). This file is infected with Net-Worm.Win32.Padobot.z

%System%\drivers\ndisrd.sys - (approx. 15 KB). This file is clean.

%System%\.exe - (approx. 14 KB). This file is infected with Net-Worm.Win32.Padobot.z

%System%\.dll - (approx. 11 KB). This file is infected with Trojan-Spy.Win32.Qukart.s

7. تغییر در رجیستری های سیستم قربانی :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AMSINT32

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AMSINT32\0000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AMSINT32\0000\Control

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Control

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\amsint32

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\amsint32\Security

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\amsint32\Enum

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32\0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32\0000\Control

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER\0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER\0000\Control

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32\Security

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32\Enum

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system

HKEY_CURRENT_USER\Software\Apcrmkeh

HKEY_CURRENT_USER\Software\Apcrmkeh\-72398023

مقادیر تغییر داده شده در رجیستری :

[HKCR\CLSID\{random CLSID number}\InprocServer32]

(default) = "%System%\.dll"

[HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"" = {random CLSID value}

[HKCU\Software\Microsoft\Windows]

"ifc" = "0x00000000"

8. راهنمای پاكسازی بدافزار با نصب ابزار :

گام 1 - غیرفعال سازی System Restore
گام 2 - بروزرسانی آنتی ویروس معتبر و اسكن مجدد سیستم
گام 3 – استفاده از ابزار پاكسازی آنتی ویروس های معتبر مانند :

http://www.symantec.com/security_response/writeup.jsp?docid2004-060210-0238-99

9. راهنمای حذف دستی بدافزار :

گام 1 - غیرفعال سازی System Restore

گام 2 - بروزرسانی آنتی ویروس معتبر و اسكن مجدد سیستم

گام 3 – جستجو و پاكسازی Net Worm.Win32.Padobot.m

گام 4 – جستجو و پاكسازی كلید Net Worm.Win32.Padobot.m رجیستری های زیر :

hklm\SOFTWARE\Net Worm.Win32.Padobot.m

hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NetWorm.Win32.Padobot.m

hkcu\Software\Microsoft\Windows\CurrentVersion\Run “NetWorm.Win32.Padobot.m”

hkcr\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}

10. اطلاعات تكمیلی :

میزان انتشار و آلودگی بدافزار در سطح كشورهای مختلف :