W32/Dabber-A là loại sâu máy tính kiêm Trojan cổng sau, có chức năng tìm kiếm các máy tính đã lây nhiễm virus W32/Sasser thông qua các địa chỉ IP ngẫu nhiên. Những máy tính đã nhiễm sâu W32/Sasser sẽ tự động mở cổng TCP/5554 để sâu kết nối vào hệ thống.
Tên virus: W32/Dabber-A/Sâu Win32
Ngày xuất hiện: 16/5/2004
Mô tả
- W32/Dabber-A sẽ tự upload tới các máy tính nhiễm virus Sasser nhờ khai thác một lỗ hổng trong cơ chế xử lý giao thức FTP của virus W32/Sasser.
- W32/Dabber-A sẽ tự nhân bản vào thư mục Windows (hoặc System32) dưới cái tên PACKAGE.EXE, và nhân bản vào mục Startup với tên tương tự:
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\package.exe
- W32/Dabber-A sẽ gửi một lệnh tới cổng TCP/8967 và kết nối tới máy tính lây nhiễm thông qua cổng TCP/5554. Sau đó, sâu sẽ tạo ra một lệnh để tự phát tán tới các máy lây nhiễm nhờ sử dụng động cơ TFTP riêng.
- Sau khi W32/Dabber-A lây nhiễm vào máy tính, nó sẽ tự nhân bản vào thư mục Startup trong thư mục Windows System (hoặc System32) để sâu có thể tự động chạy khi máy tính khởi động:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
sassfix = C:\<Windows System32>\package.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
sassfix = C:\<Windows System32>\package.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
sassfix = C:\<Windows System32>\package.exe
- W32/Dabber-A sẽ tiếp cận và xóa bỏ các khóa đầu vào liên qua tới sâu W32/Sasser trên máy tính lây nhiễm tại các địa chỉ sau:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
CLSID\(E6FB5E20-DE35-11CF-9C87-00AA005127ED)\InProcServer32\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
- Các khóa đầu vào bị W32/Dabber-A xóa có thể là một trong số sau:
Window
Video Process
TempCom
SkynetRevenge
MapiDrv
BagleAV
System Updater Service
soundcontrl
WinMsrv32
drvddll.exe
navapsrc.exe
skynetave.exe
Generic Host Service
Windows Drive Compatibility
windows
Microsoft Update
Drvddll.exe
Drvddll_exe
drvsys
drvsys.exe
ssgrate
ssgrate.exe
lsasss
lsasss.exe
avserve2.exe
avvserrve32
avserve
Taskmon
Gremlin
- W32/Dabber-A sẽ tạo ra một TFTP server trên máy tính lây nhiễm và mở cổng TCP/9898 để kết nối ngẫu nhiên tới một máy tính khác (cũng tại cổng 9898) để kiểm tra xem máy tính này đã bị nhiễm virus W32/Dabber-A hay chưa.