Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

Randonは、共有リソースを持つIRCチャネルとLAN経由で配布されるウイルスワームです。

このワームは、実行されると、そのコンポーネントをWindowsシステムディレクトリのサブディレクトリzxzおよび/またはzxにインストールし、そのメインファイルとmIRCクライアントをWindowsレジストリの自動実行キー（下記）に登録します。

HKLM SoftwareMicrosoftWindowsCurrentVersionRunupdateWins

Randonは上記のキーを実行し、 HideWIndowsユーティリティを使用してプロセスを非表示にします。 RandonはIRCサーバに接続し、そのスクリプトを実行します。 DDoS攻撃とIRCチャネルの氾濫に加えて、Randonは他のIRCクライアントのポート445をスキャンします。

分布
オープンポート（445）を検出すると、ワームはバッチファイルsencs.batとincs.batを実行し、リモートコンピュータ上で開いているリソースを探し、次のいずれかのパスワードを使用して接続します。

"admin"、 "administrator"、 "root"、 "admin"、 "test"、 "test123"、 "temp" 
"temp123"、 "pass"、 "password"、 "changeme"

接続が成功すると、ワームはポート445でソケットを開き、トロイの木馬TrojanDownloader.WIn32.APher.genを転送して実行します。このトロイの木馬は、 "www.q8kiss.net"からワームのフルバージョンの自己解凍形式のアーカイブをダウンロードし、システムにインストールします。

追加情報
Randonワームは、以下のコンポーネントで構成されています。

Deta.exe – HideWindowsユーティリティ（WIn32 exeファイル）
fControl.a – IRCスクリプト（ポートスキャンと感染リモートコンピュータ）
IfCOntrol.a – IRCスクリプト（IRCチャネルのフラッディングとDDoS攻撃（異なるアドレスへのping））
incs.bat – バッチファイル（lan resources password cracker）
Libparse.exeは "PrcView"ユーティリティ（Win32 EXEファイル）です。
psexec.exeは "PsExec"ユーティリティ（Win32 EXEファイル）です。
rcfg.ini – IRC INIファイル（他のスクリプトをロード中）
rconnect.conf – 設定ファイル
reader.w – ワームがIRCチャネルとの接続を確立するために使用するニックネームのリスト
Sa.exe – TrojanDOwnloader.Win32.Apher
scontrol.a – ヘルパーIRCスクリプト。
sencs.bat – BATファイル（このファイルはTrojanDownloaderの実行を実行するためにリモートコンピュータに転送されます）
systrey.exe – mIRCクライアント（Wind32 EXEファイル）の名前が変更されました。

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Net-Worm
プラットフォーム	Win32
説明	技術的な詳細 Randonは、共有リソースを持つIRCチャネルとLAN経由で配布されるウイルスワームです。このワームは、実行されると、そのコンポーネントをWindowsシステムディレクトリのサブディレクトリzxzおよび/またはzxにインストールし、そのメインファイルとmIRCクライアントをWindowsレジストリの自動実行キー（下記）に登録します。 HKLM SoftwareMicrosoftWindowsCurrentVersionRunupdateWins Randonは上記のキーを実行し、 HideWIndowsユーティリティを使用してプロセスを非表示にします。 RandonはIRCサーバに接続し、そのスクリプトを実行します。 DDoS攻撃とIRCチャネルの氾濫に加えて、Randonは他のIRCクライアントのポート445をスキャンします。分布オープンポート（445）を検出すると、ワームはバッチファイルsencs.batとincs.batを実行し、リモートコンピュータ上で開いているリソースを探し、次のいずれかのパスワードを使用して接続します。 "admin"、 "administrator"、 "root"、 "admin"、 "test"、 "test123"、 "temp" "temp123"、 "pass"、 "password"、 "changeme" 接続が成功すると、ワームはポート445でソケットを開き、トロイの木馬TrojanDownloader.WIn32.APher.genを転送して実行します。このトロイの木馬は、 "www.q8kiss.net"からワームのフルバージョンの自己解凍形式のアーカイブをダウンロードし、システムにインストールします。追加情報 Randonワームは、以下のコンポーネントで構成されています。 Deta.exe – HideWindowsユーティリティ（WIn32 exeファイル） fControl.a – IRCスクリプト（ポートスキャンと感染リモートコンピュータ） IfCOntrol.a – IRCスクリプト（IRCチャネルのフラッディングとDDoS攻撃（異なるアドレスへのping）） incs.bat – バッチファイル（lan resources password cracker） Libparse.exeは "PrcView"ユーティリティ（Win32 EXEファイル）です。 psexec.exeは "PsExec"ユーティリティ（Win32 EXEファイル）です。 rcfg.ini – IRC INIファイル（他のスクリプトをロード中） rconnect.conf – 設定ファイル reader.w – ワームがIRCチャネルとの接続を確立するために使用するニックネームのリスト Sa.exe – TrojanDOwnloader.Win32.Apher scontrol.a – ヘルパーIRCスクリプト。 sencs.bat – BATファイル（このファイルはTrojanDownloaderの実行を実行するためにリモートコンピュータに転送されます） systrey.exe – mIRCクライアント（Wind32 EXEファイル）の名前が変更されました。
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Net-Worm.Win32.Randon

技術的な詳細