Nume:Worm/RBot.184320.6
Descoperit pe data de:30/09/2005
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:184.320 Bytes
MD5:44db115d787dedf324c3cdda53752ef9
Versiune VDF:6.32.0.52

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Mcafee: W32/Sdbot.worm.gen.ar
   •  Kaspersky: Backdoor.Win32.IRCBot.az
   •  TrendMicro: WORM_RBOT.CIS
   •  Bitdefender: Backdoor.Ircbot.AZ


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\%combinatie de caractere aleatoare%.pif



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Intrenet Explorer"="%combinatie de caractere aleatoare%.pif"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Microsoft Intrenet Explorer"="%combinatie de caractere aleatoare%.pif"



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\OLE]
   • "Microsoft Intrenet Explorer"="%combinatie de caractere aleatoare%.pif"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • ADMIN$
   • IPC$
   • c$


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

– Lista de utilizatori:
   • adm; admin; administrador; administrat; administrateur; administrator;
      admins; computer; database; dba; default; guest; oracle; owner; staff;
      student; teacher; wwwadmin

– Lista de parole:
   • 007; 123; 1234; 2000; 2001; 2002; 2003; 2004; 2005; 7410; 8520; 12345;
      123456; 1234567; 12345678; 123456789; 1234567890; 4nC; access;
      accounting; accounts; asd; asdf; backup; bill; bitch; blank; bob;
      brian; changeme; chris; cisco; compaq; control; CREATIVE; data;
      databasepass; databasepassword; db1; db1234; db2; dbpass; dbpassword;
      dell; demo; DISC; domain; domainpass; domainpassword; eric; exchange;
      fred; fuck; george; god; hell; hello; home; homeuser; ian; ibm;
      internet; intranet; jen; joe; john; kate; katie; lan; lee; linux;
      login; loginpass; luke; mail; main; mary; MASTER; MICROSOFT; mike;
      neil; nokia; none; null; oem; oeminstall; oemuser; office; orainstall;
      outlook; pass; pass1234; passwd; password; password1; peter; pwd; qaz;
      qwe; qwer; qwerty; root; sam; SAMSUNG; server; SEX; sex; siemens;
      slut; SONY; sql; sqlpassoainstall; sue; susan; system; technical;
      test; unix; usar; user; web; win2000; win2k; win98; windows; winnt;
      winpass; winxp; www; zxc; zxcv



Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Generarea adreselor IP:
Creeaza adrese IP aleatoare si incearca sa le contacteze.


Procesul de infectare:
Creeaza un script TFTP sau FTP pe masina afectata, pentru a descarca malware la distanta, pe un alt sistem.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: normal.**********main.com
Port: 6667
Canal: #x4
Nick: USA|%sir de 9 caractere aleatoare%
Parola: x4.



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Captura ecranului
    • Captura imagine de pe webcam
    • Viteza procesorului
    • Utilizatorul curent
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • ID-ul platformei
    • Informatii despre procesele sistemului
    • Cantitatea de memorie
    • Director sistem
    • Utilizator


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS ICMP
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS TCP
    • Lanseaza atacuri DDoS UDP
    • dezactivare DCOM
    • dezactivarea partajarii de resurse in retea
    • descarcare fisier
    • activare DCOM
    • activarea partajarii de resurse in retea
    • executarea unui fisier
    • intrare pe canal IRC
    • terminare proces
    • parasire canal IRC
    • deschidere consola
    • executare atac DDoS
    • Scaneaza reteaua
    • redirectionare porturi
    • repornirea sistemului
    • trimitere email-uri
    • Porneste keylog
    • Porneste rutina de raspandire
    • terminare proces malware
    • Se actualizeaza singur
    • Face upload la un fisier
    • Vizitarea unui website

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– Urmatoarele CD-keys:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White;
      Chrome; Command and Conquer: Generals; Command and Conquer: Generals
      (Zero Hour); Command and Conquer: Red Alert; Command and Conquer: Red
      Alert 2; Command and Conquer: Tiberian Sun; Counter-Strike (Retail);
      FIFA 2002; FIFA 2003; Freedom Force; Global Operations; Gunman
      Chronicles; Half-Life; Hidden & Dangerous 2; IGI 2: Covert Strike;
      Industry Giant 2; James Bond 007: Nightfire; Legends of Might and
      Magic; Medal of Honor: Allied Assault; Medal of Honor: Allied Assault:
      Breakthrough; Medal of Honor: Allied Assault: Spearhead; Nascar Racing
      2002; Nascar Racing 2003; Need For Speed Hot Pursuit 2; Need For
      Speed: Underground; Neverwinter Nights; Neverwinter Nights (Hordes of
      the Underdark); Neverwinter Nights (Shadows of Undrentide); NHL 2002;
      NHL 2003; NOX; Rainbow Six III RavenShield; Shogun: Total War: Warlord
      Edition; Soldier of Fortune II - Double Helix; Soldiers Of Anarchy;
      The Gladiators; Unreal Tournament 2003; Unreal Tournament 2004

– O rutina de logare este pornita dupa ce se tasteaza unul din urmatorele texte:
   • USER
   • PASS

– Face captura la:
    • Datele introduse de la tastatura

– Este pornita o rutina de logare dupa ce viziteaza un site care contine unul din urmatoarele siruri de caractere in URL:
   • paypal
   • PAYPAL
   • paypal.com
   • PAYPAL.COM

– Face captura la:
    • Datele introduse de la tastatura
    • Informatii de logare

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Iulia Diaconescu on Monday, October 3, 2005
Description updated by Iulia Diaconescu on Monday, October 3, 2005

Back . . . .