Nume:Worm/IRCBot.FU
Descoperit pe data de:06/09/2005
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:197.632 Bytes
MD5:dace533a43e910fa460159247b8fb8ec
Versiune VDF:6.31.1.210

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.fu
   •  TrendMicro: BKDR_IRCBOT.AQ
   •  VirusBuster: Worm.IRCBot.DU
   •  Bitdefender: Backdoor.IRCBot.FU


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Scrie pe disc o copie a lui alegand numele fisierului dintr-o lista:
– Catre: %SYSDIR% Folosind unul din urmatoarele nume:
   • logon.exe
   • firewall.exe
   • algs.exe
   • explorer.exe
   • Isass.exe
   • iexplore.exe
   • spoolsvc.exe
   • winamp.exe
   • csrs.exe




Sterge copia initiala a virusului.



Sunt create fisierele:

– %SYSDIR%\aspr_keys.ini
%directorul de activare malware%\aspr_keys.ini
%directorul de activare malware%\%combinatie de caractere aleatoare%.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Logon Application"="%SYSDIR%\logon.exe"
   • "Application Layer Gateway Service"="%SYSDIR%\algs.exe"
   • "Windows Explorer"="%SYSDIR%\explorer.exe"
   • "Local Security Authority Service"="%SYSDIR%\Isass.exe"
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"
   • "Spooler SubSystem App"="%SYSDIR%\spoolsvc.exe"
   • "Winamp Agent"="%SYSDIR%\winamp.exe"
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"
   • "Windows Network Firewall"="%SYSDIR%\firewall.exe"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • c$\windows
   • c$\winnt
   • d$\shared
   • e$\shared
   • print$
   • IPC$
   • admin$
   • admin$\system32


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

–Utilizatori si parole inregistrate.

– Lista de utilizatori:
   • "staff"; "teacher"; "owner"; "student"; "intranet"; "lan"; "main";
      "office"; "control"; "siemens"; "compaq"; "dell"; "cisco"; "ibm";
      "oracle"; "sql"; "data"; "access"; "database"; "domain"; "god";
      "backup"; "technical"; "mary"; "katie"; "kate"; "george"; "eric";
      "none"; "guest"; "chris"; "ian"; "neil"; "lee"; "brian"; "susan";
      "sue"; "sam"; "luke"; "peter"; "john"; "mike"; "bill"; "fred"; "joe";
      "jen"; "bob"; "wwwadmin"; "oemuser"; "user"; "homeuser"; "home";
      "internet"; "www"; "web"; "root"; "server"; "linux"; "unix";
      "computer"; "adm"; "admin"; "admins"; "administrat"; "administrateur";
      "administrador"; "administrator"

– Lista de parole:
   • "winpass"; "blank"; "nokia"; "orainstall"; "sqlpassoainstall";
      "db1234"; "db2"; "db1"; "databasepassword"; "databasepass";
      "dbpassword"; "dbpass"; "domainpassword"; "domainpass"; "hello";
      "hell"; "love"; "money"; "slut"; "bitch"; "fuck"; "exchange";
      "loginpass"; "login"; "qwe"; "zxc"; "asd"; "qaz"; "win2000"; "winnt";
      "winxp"; "win2k"; "win98"; "windows"; "oeminstall"; "oem";
      "accounting"; "accounts"; "letmein"; "sex"; "outlook"; "mail";
      "qwerty"; "temp123"; "temp"; "null"; "default"; "changeme"; "demo";
      "test"; "2005"; "2004"; "2001"; "secret"; "payday"; "deadline";
      "work"; "1234567890"; "123456789"; "12345678"; "1234567"; "123456";
      "12345"; "1234"; "123"; "007"; "pwd"; "pass"; "pass1234"; "dba";
      "passwd"; "password"; "password1"; "abc"



Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Creeaza un script TFTP sau FTP pe masina afectata, pentru a descarca malware la distanta, pe un alt sistem.

 IRC  Server: **********.149.54
Port: 5111
Canal: #sluts
Nick: %sir de 8 caractere aleatoare%



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • ID-ul platformei
    • Informatii despre procesele sistemului
    • Cantitatea de memorie
    • Utilizator


– In plus, poate efectua urmatoarele operatii:
    • descarcare fisier
    • executarea unui fisier
    • executare atac DDoS
    • Face upload la un fisier

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– Parolele din urmatoarele programe:
   • MSN Messenger
   • Outlook Express
   • World Of Warcraft
   • Unreal3
   • Steam
   • Conquer Online

– O rutina de logare este pornita dupa ce se tasteaza unul din urmatorele texte:
   • "irc operator"; "paypal"; "paypal.com"; "cd key"; "cd-key"; "cdkey";
      "passwort"; "auth "; "sxt "; "login "; "pw="; "pass="; "login=";
      "password="; "username="; "passwd="; "auth"; "identify"; "oper";
      "MailPass"; "pass"; "unknown"; "user"

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • 25b30ddc0bd83e53a3935a2b5608f03d44f7


Sir de caractere:
In plus, mai contine urmatoarele siruri de caractere:
   • "rxbot_paradise"
   • "rxbot was here"

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • AS Protect 1.2

Description inserted by Catalin Jora on Tuesday, September 6, 2005
Description updated by Catalin Jora on Thursday, September 8, 2005

Back . . . .