Wirus Padobot
Pojawił się kolejny wirus - Padobot- informuje Kaspersky Lab. Jest to robak rozprzestrzeniający się przez Internet. Ma postać pliku PE EXE o rozmiarze około 10 KB (kompresja UPX, rozmiar po rozpakowaniu - około 24 KB). Szkodnik wyposażony jest w procedurę backdoor. Robak wykorzystuje lukę w usłudze LSASS opisaną przez firmę Microsoft w biuletynie MS04-011
Po uruchomieniu robak kopiuje się do foldera \Windows\System z losową nazwą, przykładowo gytotrn.exe, i tworzy dla tej kopii klucz auto-run w rejestrze systemowym, co zapewnia mu uruchamianie wraz z każdym startem systemu operacyjnego:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Cryptographic Service" = "%System%\(losowa nazwa).exe"
Dodatkowo szkodnik tworzy klucz:
[HKLM\SOFTWARE\Microsoft\Wireless]
"ID" = "(losowa wartość)"
W celu oznaczenia zainfekowanego systemu robak tworzy unikatowy identyfikator uterm19.
Robak losuje adres IP i wysyła do niego żądanie poprzez port TCP 445. Jeżeli zdalny komputer odpowie robak uruchamia na nim własny kod za pośrednictwem luki w usłudze LSASS.
Robak otwiera losowy port TCP i oczekuje na zdalne polecenia. Wbudowana funkcja backdoor pozwala zdalnemu użytkownikowi na uzyskanie pełnego dostępu do komputera.
Padobot.m podejmuje próby odbierania zdalnych poleceń i wysyłania danych podczas nawiązywania połączenia z wieloma kanałami IRC (głównie dla dorosłych):
Inne znane nazwy szkodnika to: Korgo i Lsabot