Nume:Worm/PoeBot.C.463
Descoperit pe data de:08/08/2007
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:124.436 Bytes
MD5:26990003e0aeb5f92fd7a900adbafee0

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Kaspersky: Backdoor.Win32.PoeBot.c
   •  Bitdefender: Backdoor.Agent.YRG


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Scrie pe disc o copie a lui alegand numele fisierului dintr-o lista:
– Catre: %SYSDIR%\ Folosind unul din urmatoarele nume:
   • csrs.exe
   • logon.exe
   • explorer.exe
   • supoolsvc.exe
   • lsass.exe
   • algs.exe
   • iexplore.exe
   • winamp.exe
   • firewall.exe
   • lssas.exe




Sterge copia initiala a virusului.



Este creat fisierul:

– Un fisier temporar care poate fi sters dupa aceea:
   • C:\%combinatie de caractere aleatoare%.bat

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:



Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"
   • "Windows Logon Application"="%SYSDIR%\logon.exe"
   • "Windows Explorer"="%SYSDIR%\explorer.exe"
   • "Spooler SubSystem App"="%SYSDIR%\supoolsvc.exe"
   • "Local Security Authority Service"="%SYSDIR%\lsass.exe"
   • "Application Layer Gateway Service"="%SYSDIR%\algs.exe"
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"
   • "Winamp Agent"="%SYSDIR%\winamp.exe"
   • "Windows Network Firewall"=%SYSDIR%\firewall.exe
   • "Local Security Authority Service"="%SYSDIR%\lssas.exe"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • IPC$
   • C$
   • D$
   • E$
   • C$\Documents and Settings\All Users\Documents\
   • C$\shared
   • C$\windows\system32
   • C$\windows
   • e$\shared
   • d$\shared
   • c$\winnt
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$
   • print$


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

– Lista de utilizatori:
   • staff; teacher; owner; student; intranet; lan; main; office; control;
      siemens; compaq; dell; cisco; ibm; oracle; sql; sa; data; access;
      database; domain; god; backup; technical; mary; katie; kate; george;
      eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
      luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
      user; homeuser; home; internet; www; web; root; server; linux; unix;
      computer; adm; admin; admins; administrat; administrateur;
      administrador; administrator

– Lista de parole:
   • winpass; blank; xp; nokia; hp; orainstall; sqlpassoainstall; db1234;
      db2; db1; databasepassword; databasepass; dbpassword; dbpass;
      domainpassword; domainpass; hello; hell; love; money; slut; bitch;
      fuck; exchange; loginpass; login; qwe; zxc; asd; qaz; win2000; winnt;
      winxp; win2k; win98; windows; oeminstall; oem; accounting; accounts;
      letmein; sex; outlook; mail; qwerty; temp123; temp; null; default;
      changeme; demo; test; 2005; 2004; 2001; secret; payday; deadline;
      work; 1234567890; 123456789; 12345678; 1234567; 123456; 12345; 1234;
      123; 12; 007; pwd; pass; pass1234; dba; passwd; password; password1;
      abc; ab



Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
– MS06-040 (Vulnerability in Server Service)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Creeaza un script TFTP sau FTP pe masina afectata, pentru a descarca malware la distanta, pe un alt sistem.


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: zt.enterhere**********
Port: 5190
Canal: #usac
Nick: %sir de 8 caractere aleatoare%



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Parole retinute
    • Viteza procesorului
    • Utilizatorul curent
    • Informatii despre drivere
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • ID-ul platformei
    • Cantitatea de memorie
    • Utilizator
    • Activitatea utilizatorilor locali


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS ICMP
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS UDP
    • descarcare fisier
    • executarea unui fisier
    • intrare pe canal IRC
    • terminare proces
    • Scaneaza reteaua
    • repornirea sistemului
    • trimitere email-uri
    • Porneste keylog
    • Se actualizeaza singur

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare
– Parole stocate, folosite de functia AutoComplete
– Informatii despre contul de email, obtinute din cheia de registru: HKCU\SoftwareMicrosoft\Internet Account Manager\Accounts

– Parolele din urmatoarele programe:
   • FlashFXP
   • MSN Messenger
   • OutlookExpress
   • UnrealIRCD
   • World Of Warcraft
   • Steam
   • Conquer Online
   • Unreal3

– O rutina de logare este pornita dupa ce se tasteaza urmatorul text:
   • paypal

– Face captura la:
    • Datele introduse de la tastatura

– O rutina de logare este pornita dupa ce un site este vizitat:
   • paypal.com

– Face captura la:
    • Datele introduse de la tastatura
    • Informatii de logare

 Alte informatii Mutex:


Creeaza urmatorul Mutex:
   • dcf7d2f7071938ba83b50c70eedd5ceb8984

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Monica Ghitun am Mittwoch, 7. November 2007
Die Beschreibung wurde geändert von Monica Ghitun am Donnerstag, 8. November 2007

zurück . . . .