Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

O Randon é um vírus-worm distribuído através de canais IRC e LANs com recursos compartilhados.

Quando executado, este worm instala seus componentes no subdiretório zxz e / ou zx no diretório de sistema do Windows e registra seu arquivo principal e o cliente mIRC na chave de execução automática do registro do Windows (abaixo):

HKLM SoftwareMicrosoftWindowsCurrentVersionRunupdateWins

O Randon então executa a chave acima e oculta o processo através do utilitário HideWIndows . O Randon se conecta ao servidor de IRC e executa seus scripts. Além de ataques DDoS e inundação de canal de IRC, o Randon varre a porta 445 de outros clientes de IRC.

Distribuição
Após a detecção de uma porta aberta (445), o worm executa os arquivos batch sencs.bat e incs.bat, que tentam localizar recursos abertos no computador remoto e conectá-los usando uma das seguintes senhas:

"admin", "administrador", "root", "admin", "teste", "teste123", "temp", 
"temp123", "pass", "password", "changeme"

Se uma conexão for bem sucedida, o worm abre um soquete na porta 445, transfere o cavalo de Tróia TrojanDownloader.WIn32.APher.gen e o executa. Este trojan faz o download de um arquivo auto-extraível da versão 'completa' do worm de "www.q8kiss.net" e o instala no sistema.

Informação adicional
O worm Randon consiste nos seguintes componentes:

Deta.exe – utilitário HideWindows (arquivo exe WIn32)
fControl.a – um script de IRC (varredura de portas e computadores remotos de infecção)
IfCOntrol.a – um script de IRC (inundação de canais IRC e ataques DDoS (ping em endereços diferentes))
incs.bat – Arquivo BATCH (cracker de senha de recursos lan)
Libparse.exe é o utilitário "PrcView" (arquivo EXE Win32)
psexec.exe é o utilitário "PsExec" (arquivo EXE Win32)
rcfg.ini – arquivo IRI INI (carregando outros scripts)
rconnect.conf – arquivo de configuração
reader.w – lista de apelidos usados pelo worm para estabelecer conexão com os canais de IRC
Sa.exe – TrojanDOwnloader.Win32.Apher
scontrol.a – script de ajuda do IRC.
sencs.bat – arquivo BAT (este arquivo é transferido para o computador remoto para executar o TrojanDownloader)
systrey.exe – cliente mIRC renomeado (arquivo EXE Wind32).

Link para o original

Classe	Net-Worm
Plataforma	Win32
Descrição	Detalhes técnicos O Randon é um vírus-worm distribuído através de canais IRC e LANs com recursos compartilhados. Quando executado, este worm instala seus componentes no subdiretório zxz e / ou zx no diretório de sistema do Windows e registra seu arquivo principal e o cliente mIRC na chave de execução automática do registro do Windows (abaixo): HKLM SoftwareMicrosoftWindowsCurrentVersionRunupdateWins O Randon então executa a chave acima e oculta o processo através do utilitário HideWIndows . O Randon se conecta ao servidor de IRC e executa seus scripts. Além de ataques DDoS e inundação de canal de IRC, o Randon varre a porta 445 de outros clientes de IRC. Distribuição Após a detecção de uma porta aberta (445), o worm executa os arquivos batch sencs.bat e incs.bat, que tentam localizar recursos abertos no computador remoto e conectá-los usando uma das seguintes senhas: "admin", "administrador", "root", "admin", "teste", "teste123", "temp", "temp123", "pass", "password", "changeme" Se uma conexão for bem sucedida, o worm abre um soquete na porta 445, transfere o cavalo de Tróia TrojanDownloader.WIn32.APher.gen e o executa. Este trojan faz o download de um arquivo auto-extraível da versão 'completa' do worm de "www.q8kiss.net" e o instala no sistema. Informação adicional O worm Randon consiste nos seguintes componentes: Deta.exe – utilitário HideWindows (arquivo exe WIn32) fControl.a – um script de IRC (varredura de portas e computadores remotos de infecção) IfCOntrol.a – um script de IRC (inundação de canais IRC e ataques DDoS (ping em endereços diferentes)) incs.bat – Arquivo BATCH (cracker de senha de recursos lan) Libparse.exe é o utilitário "PrcView" (arquivo EXE Win32) psexec.exe é o utilitário "PsExec" (arquivo EXE Win32) rcfg.ini – arquivo IRI INI (carregando outros scripts) rconnect.conf – arquivo de configuração reader.w – lista de apelidos usados pelo worm para estabelecer conexão com os canais de IRC Sa.exe – TrojanDOwnloader.Win32.Apher scontrol.a – script de ajuda do IRC. sencs.bat – arquivo BAT (este arquivo é transferido para o computador remoto para executar o TrojanDownloader) systrey.exe – cliente mIRC renomeado (arquivo EXE Wind32).
	Link para o original

Net-Worm.Win32.Randon

Detalhes técnicos