Nume:Worm/Spybot.65026
Descoperit pe data de:28/09/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:65.026 Bytes
MD5:f3575d48f26d83ccb39d0ecbf031cb44
Versiune VDF:6.36.00.67
Versiune IVDF:6.36.00.81 - Sonntag, 8. Oktober 2006

 General Metode de raspandire:
   • Reteaua locala
   • Messenger


Alias:
   •  Kaspersky: Backdoor.Win32.VanBot.x
   •  TrendMicro: WORM_VANBOT.X
   •  F-Secure: Backdoor.Win32.VanBot.x
   •  Sophos: W32/Sdbot-CRZ
   •  VirusBuster: Worm.Rbot.IEB


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Reduce setarile de securitate
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\dllcache\svhba.exe



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Microsoft Windows BDA Service]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=""%SYSDIR%\dllcache\svhba.exe""
   • "DisplayName"="Microsoft Windows BDA Service"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valori hex%
   • "Description"="Microsoft Windows HDA Service."

– HKLM\SYSTEM\CurrentControlSet\Services\
   Microsoft Windows BDA Service\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Microsoft Windows BDA Service\Enum]
   • "0"="Root\\LEGACY_MICROSOFT_WINDOWS_BDA_SERVICE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\dllcache\svhba.exe"="%SYSDIR%\dllcache\svhba.exe:*:Enabled:Microsoft
      Windows BDA Service"



Urmatoarele chei din registri sunt modificate:

Dezactiveaza Windows Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Vechea valoare:
   • "Start"=%setarile utilizatorului%
   Noua valoare:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Vechea valoare:
   • "Start"=%setarile utilizatorului%
   Noua valoare:
   • "Start"=dword:00000004

– [HKLM\SOFTWARE\Microsoft\Ole]
   Vechea valoare:
   • "EnableDCOM"="Y"
   Noua valoare:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Vechea valoare:
   • "lmcompatibilitylevel"=dword:00000000
   • "restrictanonymous"=dword:00000000
   Noua valoare:
   • "lmcompatibilitylevel"=dword:00000001
   • "restrictanonymous"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
   Vechea valoare:
   • "Start"=%setarile utilizatorului%
   Noua valoare:
   • "Start"=dword:00000004

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
   Vechea valoare:
   • "DoNotAllowXPSP2"=%setarile utilizatorului%
   • "DoNotAllowXPSP3"=%setarile utilizatorului%
   Noua valoare:
   • "DoNotAllowXPSP2"=dword:00000001
   • "DoNotAllowXPSP3"=dword:00000001

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– AIM Messenger
– ICQ Messenger
– Windows Live Messenger
– Yahoo Messenger

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnerability in Server Service)

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: infraredtech.**********
Port: 7007
Canal: #met
Nick: NICK [0]USA|%sistem de operare%[P]%sir de 6 caractere aleatoare%


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • Lanseaza atacuri DDoS SYN
    • Scaneaza reteaua
    • Porneste keylog
    • Se actualizeaza singur

 Terminarea proceselor Procesele care contin urmatoarele siruri de caractere sunt oprite:
   • WindowsServer2003; Windows-XP; Windows-2000; Ad-aware; spyware;
      hijack; kav; proc; norton; mcafee; f-pro; lockdown; firewall;
      blackice; avg; vsmon; zonea; spybot; nod32; reged; avp; troja; viru;
      anti


Lista cu serviciile dezactivate:
   • wuauserv
   • Windows Firewall
   • wscsvc

 Backdoor Deschide porturile:

– svhba.exe port TCP aleator pentru a functiona ca server FTP.
– svhba.exe port TCP aleator

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– O rutina de logare este pornita dupa ce un site este vizitat:
   • e-gold.com/srk.asp

– Este pornita o rutina de logare dupa ce viziteaza un site care contine unul din urmatoarele siruri de caractere in URL:
   • bank
   • Bank
   • Wells Fargo
   • eBay
   • e-gold
   • iKobo
   • PayPal
   • StormPay
   • WorldPay
   • Western Union

– Face captura la:
    • Informatii de logare

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • bawt


Modificare de fisiere:
Pentru a creste numarul maxim de conexiuni, are capacitatea de a modifica fisierul tcpip.sys . Aceasta poate afecta fisierul si intrerupe conectarea la retea.

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Adriana Popa am Montag, 6. November 2006
Die Beschreibung wurde geändert von Adriana Popa am Montag, 6. November 2006

zurück . . . .