Nume:BDS/VanBot.S.1
Descoperit pe data de:26/09/2006
Tip:Backdoor Server
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:73.216 Bytes
MD5:0444ebc4f529043cd9eecdae744af545
Versiune VDF:6.36.00.60
Versiune IVDF:6.36.00.73 - Monday, October 2, 2006

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Mcafee: W32/Sdbot.worm!73216
   •  Kaspersky: Backdoor.Win32.VanBot.s
   •  TrendMicro: WORM_SPYBOT.JQ
   •  Sophos: W32/Sdbot-CRU
   •  VirusBuster: trojan Backdoor.VanBot.K


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier
   • Creeaza un fisier
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\winlogin.exe




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://dl1.debelizombi.com/**********
Fisierul este stocat pe hard disc la: %TEMPDIR%\dl%sir de 7 caractere aleatoare%.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Windows Logon"="%SYSDIR%\winlogin.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Windows Logon"="%SYSDIR%\winlogin.exe"



Urmatoarea cheie din registri este modificata:

– HKLM\SOFTWARE\Microsoft\Ole
   Vechea valoare:
   • "EnableDCOM"="Y"
   Noua valoare:
   • "EnableDCOM"="N"

 Reţea Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS06-040 (Vulnerability in Server Service)

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: ircc.debelizombi**********
Port: 8008
Canal: #!v20!



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre procesele sistemului
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • deconectare server IRC
    • executarea unui fisier
    • intrare pe canal IRC
    • terminare proces
    • parasire canal IRC
    • deschidere consola
    • executare atac DDoS
    • Scaneaza reteaua

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • rxRizzo_v2.0

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • Morphine

Description inserted by Bogdan Iliuta on Wednesday, October 11, 2006
Description updated by Bogdan Iliuta on Friday, October 27, 2006

Back . . . .