Nume:Worm/Rbot.akr
Descoperit pe data de:15/12/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:191.488 Bytes
MD5:10edc1205b4fa42235d02ca006855515
Versiune VDF:6.33.00.31

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Symantec: W32.Spybot.Worm
   •  Kaspersky: Backdoor.Win32.Rbot.akr
   •  TrendMicro: WORM_RBOT.DID
   •  F-Secure: Backdoor.Win32.Rbot.akr
   •  Sophos: W32/Rbot-BFM
   •  Panda: Bck/Sdbot.FYA
   •  VirusBuster: Worm.Rbot.DFO
   •  Bitdefender: Backdoor.Rbot.AKR


Efecte secundare:
   • Reduce setarile de securitate
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\msnimsgr.exe



Sterge copia initiala a virusului.



Este creat fisierul:

– %SYSDIR%\SVKP.sys

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "MSN Messenger"="msnimsgr.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "MSN Messenger"="msnimsgr.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "MSN Messenger"="msnimsgr.exe"



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– HKLM\SYSTEM\CurrentControlSet\Services\SVKP
   • "Type"=dword:00000001
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\SVKP.sys"
   • "DisplayName"="SVKP"



Urmatoarele chei din registri sunt modificate:

– HKLM\SOFTWARE\Microsoft\Ole
   Vechea valoare:
   • "EnableDCOM"=%setarile utilizatorului%
   Noua valoare:
   • "EnableDCOM"="N"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Vechea valoare:
   • "restrictanonymous"=%setarile utilizatorului%
   Noua valoare:
   • "restrictanonymous"=dword:00000001

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • IPC$
   • C$
   • ADMIN$


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

–Utilizatori si parole inregistrate.

– Lista de utilizatori si parole:
   • intranet; lan; main; winpass; blank; office; control; nokia; siemens;
      compaq; dell; cisco; ibm; orainstall; sqlpassoainstall; sql; db1234;
      db1; databasepassword; data; databasepass; dbpassword; dbpass; access;
      domainpassword; domainpass; domain; hello; hell; god; sex; slut;
      bitch; fuck; exchange; backup; technical; loginpass; login; mary;
      katie; kate; george; eric; chris; ian; neil; lee; brian; susan; sue;
      sam; luke; peter; john; mike; bill; fred; joe; jen; bob; qwe; zxc;
      asd; qaz; win2000; winnt; winxp; win2k; win98; windows; oeminstall;
      oemuser; oem; user; homeuser; home; accounting; accounts; internet;
      www; web; outlook; mail; qwerty; null; server; system; changeme;
      linux; unix; demo; none; test; 2004; 2003; 2002; 2001; 2000;
      1234567890; 123456789; 12345678; 1234567; 123456; 12345; 1234; 123;
      007; pwd; pass; pass1234; passwd; password; password1; adm; db2;
      oracle; dba; database; default; guest; wwwadmin; teacher; student;
      owner; computer; root; staff; admin; admins; administrat;
      administrateur; administrador; administrator



Exploit:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-011 (LSASS Vulnerability)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Creeaza un script TFTP pe sistemul afectat, pentru a descarca un malware pe un computer controlat la distanta.


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: xi3.n2.pim.irc-**********
Canal: #xisnet#
Nick: %sir de 8 caractere aleatoare%
Parola: xq0



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
    • Informatii despre drivere
    • Spatiu liber pe disc
    • Memorie nealocata
    • Informatii despre retea
    • Informatii despre procesele sistemului
    • Cantitatea de memorie
    • Utilizator
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS ICMP
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS TCP
    • Lanseaza atacuri DDoS UDP
    • dezactivare DCOM
    • dezactivarea partajarii de resurse in retea
    • descarcare fisier
    • activare DCOM
    • activarea partajarii de resurse in retea
    • executarea unui fisier
    • intrare pe canal IRC
    • terminare proces
    • parasire canal IRC
    • deschidere consola
    • executare atac DDoS
    • Scaneaza reteaua
    • redirectionare porturi
    • Inregistreaza un serviciu
    • repornirea sistemului
    • trimitere email-uri
    • Porneste keylog
    • Porneste rutina de raspandire
    • terminare proces malware
    • terminare proces
    • Se actualizeaza singur
    • Face upload la un fisier

 Terminarea proceselor Lista cu procesele oprite:
   • i11r54n4.exe; irun4.exe; d3dupdate.exe; rate.exe; ssate.exe;
      winsys.exe; winupd.exe; SysMonXP.exe; bbeagle.exe; Penis32.exe;
      teekids.exe; MSBLAST.exe; mscvb32.exe; sysinfo.exe; PandaAVEngine.exe;
      wincfg32.exe; taskmon.exe; zonealarm.exe; navapw32.exe; navw32.exe;
      zapro.exe; msblast.exe; netstat.exe; msconfig.exe; regedit.exe


 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • nt

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Irina Boldea on Monday, April 10, 2006
Description updated by Irina Boldea on Tuesday, April 11, 2006

Back . . . .