Name:Worm/Rbot.95744.12
Entdeckt am:09/11/2005
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:95.744 Bytes
MD5 Prüfsumme:b8e07b509594509af0d671c79176ff9c
VDF Version:6.32.00.123

 Allgemein Verbreitungsmethode:
   • Lokales Netzwerk


Aliases:
   •  Symantec: W32.Spybot.Worm
   •  Sophos: W32/Rbot-AWZ
   •  Bitdefender: Backdoor.RBot.0EA93F88


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\winzbp.exe

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WinZap Check" = "winzbp.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "WinZap Check" = "winzbp.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WinZap Check" = "winzbp.exe"

 Infektion über das Netzwerk Folgende Sicherheitslücken werden ausgenutzt:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: irc.thev**********.biz
Port: 14478
Channel: #.lala.#
Nickname: USA|%sechsstellige zufällige Buchstabenkombination%
Passwort: lala



– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Versteckte Passwörter
    • Speichern von Bildern der Webcam
    • Aktueller Benutzer
    • Informationen über das Netzwerk
    • Informationen über laufende Prozesse
    • Benutzername
    • Lokale Aktivität des Benutzers
    • Information über das Windows Betriebsystem
    • DDoS ICMP Angriff starten
    • DDoS SYN Angriff starten
    • DDoS UDP Angriff starten
    • Gesharte Netzlaufwerke deaktivieren
    • Datei herunterladen
    • Registry editieren
    • Gesharte Netzlaufwerke aktivieren
    • Datei ausführen
    • IRC Chatraum betreten
    • Prozess abbrechen
    • DDoS Attacke durchführen
    • Scannen des Netzwerks
    • Port Weiterleitung durchführen
    • Registrieren eines Service
    • System neu starten
    • Emails verschicken
    • Starte Verbreitunsroutine
    • Prozess beenden
    • Aktualisiert sich selbst
    • Datei Hinaufladen
    • Besuch einer Webseite

 Prozess Beendigung Liste der Prozesse die beendet werden:
   • bbeagle.exe; d3dupdate.exe; i11r54n4.exe"; irun4.exe; MSBLAST.exe;
      msblast.exe; msconfig.exe; mscvb32.exe; navapw32.exe; navw32.exe;
      netstat.exe; PandaAVEngine.exe; Penis32.exe; rate.exe; regedit.exe;
      ssate.exe; sysinfo.exe; SysMonXP.exe; teekids.exe;
      wincfg32.exetaskmon.exe; winsys.exe; winupd.exe; zapro.exe;
      zonealarm.exe


 Diebstahl Es wird versucht folgende Information zu klauen:

– Folgende CD keys:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White;
      Command and Conquer: Generals; Command and Conquer: Generals (Zero
      Hour); Command and Conquer: Red Alert; Command and Conquer: Red Alert
      2; Command and Conquer: Tiberian Sun; Counter-Strike (Retail); FIFA
      2002; FIFA 2003; Half-Life; Hidden & Dangerous 2; IGI 2: Covert
      Strike; Industry Giant 2; James Bond 007: Nightfire; Medal of Honor:
      Allied Assault; Medal of Honor: Allied Assault: Breakthrough; Medal of
      Honor: Allied Assault: Spearhead; Nascar Racing 2002; Nascar Racing
      2003; Need For Speed Hot Pursuit 2; Need For Speed: Underground;
      Neverwinter Nights; Neverwinter Nights (Hordes of the Underdark);
      Neverwinter Nights (Shadows of Undrentide); NHL 2002; NHL 2003;
      Rainbow Six III RavenShield; Shogun: Total War: Warlord Edition;
      Soldier of Fortune II - Double Helix; Soldiers Of Anarchy; The
      Gladiators; Unreal Tournament 2003

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgenden Laufzeitpackern gepackt:
   • PolyCript
   • ASPack

Die Beschreibung wurde erstellt von Iulian Popa am Donnerstag, 10. November 2005
Die Beschreibung wurde geändert von Andrei Ivanes am Donnerstag, 17. November 2005

zurück . . . .