Nume:Worm/Rbot.79872.3
Descoperit pe data de:07/09/2005
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:79.872 Bytes
MD5:b194501e863d4007caccaa682e607aed
Versiune VDF:6.31.1.216

 General Metode de raspandire:
   • Reteaua locala
   • Discuri de retea mapate


Alias:
   •  VirusBuster: Worm.RBot.CJK
   •  Bitdefender: Backdoor.RBot.B4FF80F8


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efecte secundare:
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\google.exe



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "google"="google.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "google"="google.exe"



Urmatoarele chei din registri sunt modificate:

– HKLM\SOFTWARE\Microsoft\Ole
   Vechea valoare:
   • "EnableDCOM"="%setarile utilizatorului%"
   Noua valoare:
   • "EnableDCOM"="N"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Vechea valoare:
   • "restrictanonymous"=%setarile utilizatorului%
     "restrictanonymoussam"=%setarile utilizatorului%
   Noua valoare:
   • "restrictanonymous"=dword:00000001
     "restrictanonymoussam"=dword:00000001

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • C$
   • D$"
   • ADMIN$
   • IPC$


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

–Utilizatori si parole inregistrate.

– Lista de utilizatori:
   • accounting; accounts; admin; administrador; administrat;
      administrateur; administrator; admins; bill; bob; brian; chris;
      computer; eric; fred; george; guest; home; homeuser; ian; internet;
      jen; joe; john; kate; katie; lee; luke; mary; mike; neil; oem;
      oeminstall; oemuser; owner; peter; root; sam; staff; student; sue;
      susan; teacher; user; wwwadmin

– Lista de parole:
   • 7; 123; 1234; 2000; 2001; 2002; 2003; 2004; 12345; 123456; 1234567;
      12345678; 123456789; 1234567890; access; accounting; accounts; adm;
      asd; backup; bitch; blank; changeme; cisco; compaq; control; data;
      database; databasepass; databasepassword; db1; db1234; db2; dba;
      dbpass; dbpassword; default; dell; demo; domain; domainpass;
      domainpassword; exchange; fuck; god; hell; hello; ibm; internet;
      intranet; lan; linux; login; loginpass; mail; main; nokia; none; null;
      office; oracle; orainstall; outlook; pass; pass1234; passwd; password;
      password1; pwd; qaz; qwe; qwerty; server; sex; siemens; slut; sql;
      sqlpassoainstall; system; technical; test; unix; web; win2000; win2k;
      win98; windows; winnt; winpass; winxp; www; zxc



Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Creeaza un script TFTP sau FTP pe masina afectata, pentru a descarca malware la distanta, pe un alt sistem.
Determina sistemul respectiv sa descarce un malware direct de pe masina infectata.


Reducerea vitezei:
–Declanseaza multiple surse de infectare.
– In functie de largimea benzii, puteti observa o cadere in viteza retelei. Acest malware are o activitate medie in retea, pe care e posibil sa nu o remarcati in cazul conectarii broadband.
– Este posibila si o incetinire a sistemului, datorita multiplelor accesari ale retelei.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: disclosure**********.server.us
Port: 40000
Canal: #support
Nick: [XP]|%random characters string%
Parola: server



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Parole retinute
    • Viteza procesorului
    • Utilizatorul curent
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • Informatii despre procesele sistemului
    • Cantitatea de memorie
    • Utilizator


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • Lanseaza atacuri DDoS ICMP
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS TCP
    • Lanseaza atacuri DDoS UDP
    • dezactivare DCOM
    • dezactivarea partajarii de resurse in retea
    • deconectare server IRC
    • descarcare fisier
    • editare registru sistem
    • activarea partajarii de resurse in retea
    • executarea unui fisier
    • intrare pe canal IRC
    • parasire canal IRC
    • deschidere consola
    • executare atac DDoS
    • Scaneaza reteaua
    • repornirea sistemului
    • trimitere email-uri
    • Porneste rutina de raspandire
    • terminare proces
    • Se actualizeaza singur

 Backdoor Deschide porturile:

– %SYSDIR%\google.exe pe portul TCP 25000 pentru a functiona ca server FTP.
– %SYSDIR%\google.exe pe portul UDP 89 pentru a oferi un server TFTP.

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • afffff

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, sunt folosite urmatoarele programe de arhivare:
   • UPack;
   • ASPack;
   • PE_Patch.Upolyx;
   • UPX

Description inserted by Irina Boldea on Wednesday, September 7, 2005
Description updated by Irina Boldea on Thursday, September 8, 2005

Back . . . .