Nume:Worm/IRCBot.50176
Descoperit pe data de:19/08/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:50.176 Bytes
MD5:a0a9e853b4ca1b2b66c39a44e374a25e
Versiune VDF:6.31.01.146

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Kaspersky: Backdoor.Win32.Rbot.yb
   •  TrendMicro: WORM_RBOT.CKK
   •  Sophos: W32/KBBot-A
   •  Eset: Win32/Rbot
   •  Bitdefender: Backdoor.SDBot.DEA


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\wnsvc.exe



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "WN Services"="wnsvc.exe"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS04-007 (ASN.1 Vulnerability)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand primul octet din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Creeaza un script TFTP pe sistemul afectat, pentru a descarca un malware pe un computer controlat la distanta.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: micro.nun**********
Port: 6564
Parola serverului: cheezw00p
Canal: #&robots
Nick: \%sir de 7 caractere aleatoare%
Parola: koolbotz

Server: micro.leet**********
Port: 6564
Parola serverului: cheezw00p
Canal: #&scanning
Nick: \%sir de 7 caractere aleatoare%
Parola: koolbotz



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
    • Informatii despre drivere
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • Informatii despre procesele sistemului
    • Cantitatea de memorie
    • Utilizator
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS ICMP
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS TCP
    • Lanseaza atacuri DDoS UDP
    • descarcare fisier
    • executarea unui fisier
    • terminare proces
    • executare atac DDoS
    • Scaneaza reteaua
    • Porneste rutina de raspandire
    • terminare proces malware
    • terminare proces
    • Se actualizeaza singur

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Irina Boldea on Thursday, May 11, 2006
Description updated by Irina Boldea on Thursday, May 11, 2006

Back . . . .