Radminer

Radminer — сетевой червь, занимающийся самораспространением посредством протокола крэкерами, освоившими протокол RAdmin и решившими применить знания на практике, для создания сообственного децентрализованного ботнета.

В качестве примера будет рассмотрена модификация B(Radminer.B), которая получила наибольшее распространение в сети Интернет. Именно рассматриваемую версию можно найти на большом количестве компьютеров с установленной операционной системой Windows XP сборки «Zver».

Наиболее распространен в Российских сетях, а также в сетях стран СНГ.

Описание файла червя

Тип: Исполнимый файл Win32 PE
Оригинальное имя файла: srvxc.exe
Размер: 97792 байт
SHA1: 6e276459bb07b5d6cbe377fc25bbbfe9 / 4afc309dadb94882ccee6a5605a702eb768210ff

Примечание: Следует отметить что при запуске он не записывает себя в автозагрузку и вообще не производит никаких вредоносных действий на системе.

Принципы работы

Используя функции из crypt32.dll, создает совершенно непредсказуемый алгоритм работы, время работы.
В частности, случайным образом выбирается диапазон сканирования (первые 2 числа от IPv4 адреса), например одинакова вероятность того что при запуске червя будет выбран диапазон 92.51.*.* или 179.3.*.*
Работает случайное количество циклов(циклом здесь будет называться полное сканирование диапазона, выбранного ранее), после чего завершает себя.
Цикл сканирования включает в себя случайный выбор IP адреса из диапазона. Вначале червь «пингует» выбранный IP, используя функции из icmp.dll, если удаленный хост ответил за короткий промежуток времени, тогда делается попытка подключения на TCP-порт 4899.
Если удалось соединиться с портом, производится попытка создать(или открыть уже созданный файл loggg.txt в корне системного диска) и записать туда IP на новой строчке.
После этого производится попытка взломать пароль, используя встроенный в программу маленький словарик из примерно 20 паролей, среди которых частоиспользуемые или по-умолчанию пароли 12345678 и 123456789.
Если пароль подобрать удалось, проиводится еще одна запись в вышеупомянутый лог-файл вида IP:Пароль.
//Внимание: следующая строчка информации не претендует на истинность, так как нет точных данных о работе этого функционала червя.
Далее червь подключается к взломанному серверу в режиме файлового обмена, копирует себя, например в C:\wutemp\srvxc.exe, после чего подключается в режиме командной строки и запускает себя.

Таким образом червь воспроизводит себя, постоянно копируясь на каждую взломанную машину и запуская себя там.

Разработчики Radminer предусмотрели файл loggg.txt для своих целей. Рассмотрим следующую последовательность действий.

• Взломщик запускает у себя червя(ведь червь не наносит ущерба системе, что упоминалось выше).
• Червь обнаруживает в случайно выбранном диапазоне компьютеры с простым паролем на RAdmin и пишет это в лог-файл.
• Взломщик, пользуясь лог-файлом на своей системе, получает доступ к тем компьютерам, что удалось взломать червю и извлекает с них лог-файл, созданный скопированной версией червя и так далее, получается пирамида, при всем этом при использовании анонимных прокси-серверов, взломщик остается неизвестным.
  

Далее можно извлечь выгоду с каждой машины которую удалось взломать таким способом.

Примечание

В сетевом черве Radminer раскрыт малодокументированный и официально закрытый протокол RAdmin.

См. также

Radmin