WORM_BIZOME.SMD
Windows 2000, Windows XP, Windows Server 2003
Tipo de malware
Worm
Destructivo?
No
Cifrado
Sí
In the Wild:
Sí
Resumen y descripción
Puede haberlo infiltrado otro malware. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Piratea un equipo ejecutando una línea de comandos.
Detalles técnicos
Detalles de entrada
Puede haberlo infiltrado otro malware.
Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Instalación
Infiltra los archivos siguientes:
- %Current%\ipz-db.bin
- %Current%\log.txt
Técnica de inicio automático
Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\IPZ
Type = 10
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\IPZ
Start = 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\IPZ
ErrorControl = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\IPZ
ImagePath = {malware path and file name}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\IPZ
DisplayName = Intelligent P2P Zombie
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\IPZ
ObjectName = LocalSystem
Otras modificaciones del sistema
Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and file name} = {malware path and file name}:*:Enabled:{malware filename}
Rutina de puerta trasera
Piratea un equipo ejecutando una línea de comandos.
Otros detalles
Según el análisis de los códigos, tiene las siguientes capacidades:
- Executes using command-line and may have the following parameters:
- /l, --log - enable logging of activities
- /i, --install - install its own service
- /s, --service - restart its own service
- /r, --remove - remove own service
- Sends ICMP PING requests to random IP addresses and scans for port 4899 (Radmin Port) to check if those IP addresses have RADMIN service running. Once successful, it uses the following hardcoded list of user names and passwords to gain access to password-protected systems:
- 0987654321
- 111111
- 11111111
- 121212
- 12121212
- 123123
- 12341234
- 123456
- 12345678
- 123456789
- 1234567890
- 1q2w3e
- 1q2w3e4r
- 1q2w3e4r5t
- 654321
- 87654321
- aaaaaa
- aaaaaaaa
- admin
- Admin
- administrator
- aerial
- aerodynamics
- aeroplane
- alien
- altera
- altitude
- america
- american
- anchorite
- annihilation
- archer
- asdfghjk
- asdfghjkl
- atmel
- atmosphere
- atomic
- backward
- battle
- bender
- billgates
- boeing
- brentcorrigan
- brutal
- bullshit
- burning
- callofduty
- cannon
- cdrom
- children
- computer
- coolface
- copyleft
- copyright
- creative
- creator
- darthvader
- deathcore
- deathstar
- debian
- deltaplane
- destroy
- disable
- display
- domination
- doomsday
- elephant
- elimination
- emoboy
- emokid
- emperor
- enable
- enigma
- europe
- evangellion
- fallout
- fighter
- folder
- forward
- freedom
- fuckyou
- godzilla
- gothic
- grinder
- guitar
- happiness
- happy
- hardcore
- harddisk
- helicopter
- hippie
- hitler
- horishima
- horizon
- ignore
- imageboard
- income
- incoming
- insane
- internet
- israel
- jesus
- jetpack
- kamikaze
- keyboard
- kremlin
- latitude
- lineage2
- login
- longtitude
- lucifer
- lurkmore
- machine
- memory
- metall
- microchip
- microsoft
- minigun
- missile
- monkey
- motorbike
- mouse
- mozilla
- music
- negative
- nekoboy
- nigger
- nuclear
- oracle
- overmind
- password
- people
- pilotage
- police
- positive
- predator
- pretty
- processor
- propeller
- prototype
- qazwsx
- qazwsxedc
- qqqqqq
- qqqqqqqq
- qweasd
- qweasdzxc
- qwerty
- qwertyui
- qwertyuiop
- radmin
- rastaman
- reactor
- receiver
- revolution
- rocketman
- router
- samael
- satan
- sattelite
- scientology
- secret
- secure
- shadow
- shcool
- skynet
- skywalker
- smoking
- solder
- speaker
- stalin
- starcraft
- stinger
- sunlight
- superman
- supply
- suxxxx
- terminator
- thieft
- thread
- thunderbird
- tolerance
- topsecret
- tranciever
- transmitter
- trollface
- ubuntu
- unknown
- username
- utorrent
- warcraft
- warhammer
- washington
- whitehouse
- windows
- wireless
- xlinx
- youandme
- youtube
- zeitgeist
It then install itself on the machine. It uses port 310 to communicate between infected systems.
- (peer_broadcast_link) broadcasting link to {IP}
- (peer_link_to_self) buddy {IP} kicked due to synchronization error
- (peer_link_to_self) synchronized link to {IP}
- (peer_new_buddy) {IP} - added new buddy
- (peer_new_buddy) {IP} - buddy already in list
- (peer_new_buddy) {IP} - connection closed
- (peer_new_buddy) {IP} - trying to connect
- (peer_process_link_message) linked to new buddy {IP}
- (peer_process_link_message) synchronized link with {IP}
- (peer_process_message) new message
- (peer_process_message) new message accepted
- (peer_process_poll_message) message delivered to {IP}
- (peer_process_poll_message) no messages to deliver to {IP}
- (peer_process_poll_message) {IP} polled his mailbox
- [{Date and Time}]#{ID} (ACT) connected to {IP}
- [{Date and Time}]#{ID} (ACT) disconnected from {IP}
- [{Date and Time}]#{ID} (ACT) failed to connect to {IP}
- [{Date and Time}]#{ID} (ACT) message delivered to {IP}
- [{Date and Time}]#{ID} (ACT) message received from {IP}
- [{Date and Time}]#{ID} (ACT) no messages on {IP}
- [{Date and Time}]#{ID} (ACT) polling mailbox on {IP}
- [{Date and Time}]#{ID} (ACT) sending messages to {IP}
- [{Date and Time}]#{ID} (ACT) trying to connect to {IP}
- [{Date and Time}]#{ID} (PASS) connection from {IP} closed
- [{Date and Time}]#{ID} (PASS) LINK from {IP}
- [{Date and Time}]#{ID} (PASS) message from {IP}
- [{Date and Time}]#{ID} (PASS) POLL from {IP}
- [{Date and Time}]#{ID} (PASS) received connection from {IP}
Soluciones
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Reiniciar en modo seguro
Step 3
Eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- IPZ
- IPZ
Step 4
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- {malware path and file name} = {malware path and file name}:*:Enabled:{malware filename}
Step 5
Buscar y eliminar estos archivos
- %Current%\ipz-db.bin
- %Current%\log.tx
Step 6
Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como WORM_BIZOME.SMD En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Rellene nuestra encuesta!