Vollständige Virenbeschreibung

Name:	TR/IRCBot.LZ.4
Entdeckt am:	26/09/2005
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	83.436 Bytes
MD5 Prüfsumme:	f110d9ac3ed4e96d3d25db7a5d93d99d
VDF Version:	6.32.0.44

Allgemein Verbreitungsmethode:
   • Lokales Netzwerk

Aliases:
   • Symantec: Backdoor.Sdbot
   • Kaspersky: Backdoor.Win32.Agobot.afp
   • TrendMicro: WORM_SDBOT.CHG
   • F-Secure: W32/Sdbot.MBM
   • VirusBuster: Worm.SdBot.BJL
   • Bitdefender: Backdoor.RBot.CBS

Betriebsysteme:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\winsvc32.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %TEMPDIR%\oo.reg
   • c:\a.bat

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Services"="winsvc32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows Services"="winsvc32.exe"

Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
   • "AllowUnqualifiedQuery"=dword:00000000
   • "PrioritizeRecordData"=dword:00000001
   • "TCP1320Opts"=dword:00000003
   • "KeepAliveTime"=dword:00023280
   • "BcastQueryTimeout"=dword:000002ee
   • "BcastNameQueryCount"=dword:00000001
   • "CacheTimeout"=dword:0000ea60
   • "Size/Small/Medium/Large"=dword:00000003
   • "LargeBufferSize"=dword:00001000
   • "SynAckProtect"=dword:00000002
   • "PerformRouterDiscovery"=dword:00000000
   • "EnablePMTUBHDetect"=dword:00000000
   • "FastSendDatagramThreshold "=dword:00000400
   • "StandardAddressLength "=dword:00000018
   • "DefaultReceiveWindow "=dword:00004000
   • "DefaultSendWindow"=dword:00004000
   • "BufferMultiplier"=dword:00000200
   • "PriorityBoost"=dword:00000002
   • "IrpStackSize"=dword:00000004
   • "IgnorePushBitOnReceives"=dword:00000000
   • "DisableAddressSharing"=dword:00000000
   • "AllowUserRawAccess"=dword:00000000
   • "DisableRawSecurity"=dword:00000000
   • "DynamicBacklogGrowthDelta"=dword:00000032
   • "FastCopyReceiveThreshold"=dword:00000400
   • "LargeBufferListDepth"=dword:0000000a
   • "MaxActiveTransmitFileCount"=dword:00000002
   • "MaxFastTransmit"=dword:00000040
   • "OverheadChargeGranularity"=dword:00000001
   • "SmallBufferListDepth"=dword:00000020
   • "SmallerBufferSize"=dword:00000080
   • "TransmitWorker"=dword:00000020
   • "DNSQueryTimeouts" =hex(7):31,00,00,00,32,00,00,00,32,00,00,00,34,00,00,00,38,00,00,00,30,00,00,00,00,00
   • "DefaultRegistrationTTL"=dword:00000014
   • "DisableReplaceAddressesInConflicts"=dword:00000000
   • "DisableReverseAddressRegistrations"=dword:00000001
   • "UpdateSecurityLevel "=dword:00000000
   • "DisjointNameSpace"=dword:00000001
   • "QueryIpMatching"=dword:00000000
   • "NoNameReleaseOnDemand"=dword:00000001
   • "EnableDeadGWDetect"=dword:00000000
   • "EnableFastRouteLookup"=dword:00000001
   • "MaxFreeTcbs"=dword:000007d0
   • "MaxHashTableSize"=dword:00000800
   • "SackOpts"=dword:00000001
   • "Tcp1323Opts"=dword:00000003
   • "TcpMaxDupAcks"=dword:00000001
   • "TcpRecvSegmentSize"=dword:00000585
   • "TcpSendSegmentSize"=dword:00000585
   • "TcpWindowSize"=dword:0007d200
   • "DefaultTTL"=dword:00000030
   • "TcpMaxHalfOpen"=dword:0000004b
   • "TcpMaxHalfOpenRetried"=dword:00000050
   • "TcpTimedWaitDelay"=dword:00000000
   • "MaxNormLookupMemory"=dword:00030d40
   • "FFPControlFlags"=dword:00000001
   • "FFPFastForwardingCacheSize"=dword:00030d40
   • "MaxForwardBufferMemory"=dword:00019df7
   • "MaxFreeTWTcbs"=dword:000007d0
   • "GlobalMaxTcpWindowSize"=dword:0007d200
   • "EnablePMTUDiscovery"=dword:00000001
   • "ForwardBufferMemory"=dword:00019df7

Folgende Registryschlüssel werden geändert:

– [HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
   Alter Wert:
   • "TransportBindName"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "TransportBindName"=""

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Alter Wert:
   • "Start"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Alter Wert:
   • "Start"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\ControlSet001\Services\wscsvc]
   Alter Wert:
   • "Start"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Alter Wert:
   • "restrictanonymous"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "restrictanonymous"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\
   Protocols\PCT1.0\Server]
   Alter Wert:
   • "Enabled"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Enabled"=hex:00

– [HKLM\SOFTWARE\Microsoft\Ole]
   Alter Wert:
   • "EnableDCOM"="%Einstellungen des Benutzers%
     "EnableRemoteConnect"="%Einstellungen des Benutzers%
   Neuer Wert:
   • "EnableDCOM"="N"
     "EnableRemoteConnect"="N"


– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   Alter Wert:
   • "AutoShareWks"=%Einstellungen des Benutzers%
     "AutoShareServer"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "AutoShareWks"=dword:00000000
     "AutoShareServer"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
   Alter Wert:
   • "NameServer"=""%Einstellungen des Benutzers%
     "ForwardBroadcasts"=%Einstellungen des Benutzers%
     "IPEnableRouter"=%Einstellungen des Benutzers%
     "Domain"=%Einstellungen des Benutzers%
     "SearchList"=%Einstellungen des Benutzers%
     "UseDomainNameDevolution"=%Einstellungen des Benutzers%
     "EnableICMPRedirect"=%Einstellungen des Benutzers%
     "DeadGWDetectDefault"=%Einstellungen des Benutzers%
     "DontAddDefaultGatewayDefault"=%Einstellungen des Benutzers%
     "EnableSecurityFilters"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "NameServer"=""
     "ForwardBroadcasts"=dword:00000000
     "IPEnableRouter"=dword:00000000
     "Domain"=""
     "SearchList"=""
     "UseDomainNameDevolution"=dword:00000001
     "EnableICMPRedirect"=dword:00000000
     "DeadGWDetectDefault"=dword:00000001
     "DontAddDefaultGatewayDefault"=dword:00000000
     "EnableSecurityFilters"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Alter Wert:
   • "MaxConnectionsPer1_0Server"=%Einstellungen des Benutzers%
     "MaxConnectionsPerServer"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "MaxConnectionsPer1_0Server"=dword:00000050
     "MaxConnectionsPerServer"=dword:00000050

Infektion über das Netzwerk Um sich Zugriff auf entfernte Computer zu verschaffen werden folgende Anmeldeinformationen genutzt:

– Folgende Liste von Benutzernamen:
   • administrator; administrador; administrateur; administrat; admins;
      admin; staff; computer; owner; student; teacher; wwwadmin; guest;
      default; database; oracle; linux; admin; ADMIN; Admin; admin123;
      Administrador; Administrateur; administrator; ADMINISTRATOR;
      Administrator; guest; Guest; default; DEFAULT; Default; LOCAL

– Folgende Liste von Passwörtern:
   • password; PASSWORD; Password; system; SYSTEM; GUEST; ADMIN; PASSWORD;
      SHARE; WRITE; FILES; ACCESS; BACKUP; SYSTEM; SERVER; LOCAL; passwd;
      database; abc123; xxxxx; xxxxxx; xxxxxxx; xxxxxxxx; xxxxxxxxx; 00000;
      000000

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: 152.23.204.55
Port: 4891
Channel: #update
Nickname: USA-%fünfstellige zufällige Buchstabenkombination%
Passwort: w32z

– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Speichern der Bildschirmanzeige
    • Speichern von Bildern der Webcam
    • Prozessorgeschwindigkeit
    • Aktueller Benutzer
    • Freier Festplattenplatz
    • Freier Hauptspeicher
    • Informationen über das Netzwerk
    • Informationen über laufende Prozesse
    • Größe des Speichers
    • Benutzername

– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • DDoS ICMP Angriff starten
    • DDoS SYN Angriff starten
    • DDoS TCP Angriff starten
    • DDoS UDP Angriff starten
    • DCOM deaktivieren
    • Gesharte Netzlaufwerke deaktivieren
    • vom IRC Server abmelden
    • Datei herunterladen
    • DCOM aktivieren
    • Gesharte Netzlaufwerke aktivieren
    • Datei ausführen
    • IRC Chatraum betreten
    • IRC Chatraum verlassen
    • Öffnen einer remote shell
    • DDoS Attacke durchführen
    • Scannen des Netzwerks
    • Port Weiterleitung durchführen
    • Starte Tastaturüberwachung
    • Malware beenden
    • Prozess beenden
    • Aktualisiert sich selbst
    • Datei Hinaufladen

Diebstahl Es wird versucht folgende Information zu klauen:
– Windows Produkt ID

– Folgende CD keys:
   • Counter-Strike (Retail); The Gladiators; Gunman Chronicles; Half-Life;
      Industry Giant 2; Legends of Might and Magic; Soldiers Of Anarchy;
      Unreal Tournament 2003; Unreal Tournament 2004; IGI 2: Covert Strike;
      Freedom Force; Battlefield 1942; Battlefield 1942 (Road To Rome);
      Battlefield 1942 (Secret Weapons of WWII); Battlefield Vietnam; Black
      and White; Command and Conquer: Generals (Zero Hour); James Bond 007:
      Nightfire; Command and Conquer: Generals; Global Operations; Medal of
      Honor: Allied Assault; Medal of Honor: Allied Assault: Breakthrough;
      Medal of Honor: Allied Assault: Spearhead; Need For Speed Hot Pursuit
      2; Need For Speed: Underground; Shogun: Total War: Warlord Edition;
      FIFA 2002; FIFA 2003; NHL 2002; NHL 2003; Nascar Racing 2002; Nascar
      Racing 2003; Rainbow Six III RavenShield; Command and Conquer:
      Tiberian Sun; Command and Conquer: Red Alert; Command and Conquer: Red
      Alert 2; NOX; Chrome; Hidden & Dangerous 2; Soldier of Fortune II -
      Double Helix; Neverwinter Nights; Neverwinter Nights (Shadows of
      Undrentide); Neverwinter Nights (Hordes of the Underdark)

– Das Passwort des Programmes:
   • winlogon

– Nachdem eine Webseite besucht wurde dessen URL eine der folgenden Substings enthält, wird eine Protokollfunktion gestartet:
   • paypal
   • PAYPAL
   • paypal.com
   • PAYPAL.COM

– Aufgezeichnet wird:
    • Tastaturanschläge
    • Anmeldeinformation

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• PE Pack

Die Beschreibung wurde erstellt von Razvan Olteanu am Dienstag, 27. September 2005
Die Beschreibung wurde geändert von Razvan Olteanu am Freitag, 30. September 2005

zurück . . . .