Nume:Worm/Poebot.K
Descoperit pe data de:30/09/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:53.521 Bytes
MD5:40010cc1ca2d123d654f0163830d398c
Versiune VDF:6.36.00.70
Versiune IVDF:6.36.00.84 - Monday, October 9, 2006

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Kaspersky: Backdoor.Win32.PoeBot.k
   •  F-Secure: Backdoor.Win32.PoeBot.k
   •  Grisoft: IRC/BackDoor.SdBot2.JJN
   •  Eset: Win32/Poebot
   •  Bitdefender: Backdoor.RBot.HES


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Scrie pe disc copii ale lui alegand numele fisierului din listele:
– Catre: %SYSDIR%\ Folosind unul din urmatoarele nume:
   • csrs.exe
   • logon.exe
   • explorer.exe
   • supoolsvc.exe
   • lsass.exe
   • algs.exe
   • iexplore.exe
   • winamp.exe
   • firewall.exe
   • lssas.exe
   • winIogon.exe
   • spooIsv.exe
   • spoolsvc.exe




Sterge copia initiala a virusului.



Este creat fisierul:

%directorul de activare malware%\%combinatie de caractere aleatoare%.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"
   • "Windows Logon Application"="%SYSDIR%\logon.exe"
   • "Windows Explorer"="%SYSDIR%\explorer.exe"
   • "Spooler SubSystem App"="%SYSDIR%\supoolsvc.exe"
   • "Local Security Authority Service"="%SYSDIR%\lsass.exe"
   • "Application Layer Gateway Service"="%SYSDIR%\algs.exe"
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"
   • "Winamp Agent"="%SYSDIR%\winamp.exe"
   • "Windows Network Firewall"="%SYSDIR%\firewall.exe
   • "Local Security Authority Service"="%SYSDIR%\lssas.exe"
   • "Windows Logon Application"="%SYSDIR%\winIogon.exe"
   • "Spooler SubSystem App"="%SYSDIR%\spooIsvc.exe"
   • "Spooler SubSystem App"="%SYSDIR%\spoolsvc.exe"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • IPC$
   • print$
   • C$\Documents and Settings\All Users\Documents\$
   • admin$
   • Admin$\system32
   • c$\windows\system32
   • c$\winnt\system32
   • c$\windows
   • c$\winnt
   • e$\shared
   • d$\shared
   • c$\shared


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

– Lista de utilizatori:
   • staff; teacher; owner; student; intranet; lan; main; office; control;
      siemens; compaq; dell; cisco; ibm; oracle; sql; data; access;
      database; domain; god; backup; technical; mary; katie; kate; george;
      eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
      luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
      user; homeuser; home; internet; www; web; root; server; linux; unix;
      computer; adm; admin; admins; administrat; administrateur;
      administrador; administrator

– Lista de parole:
   • winpass; blank; nokia; orainstall; sqlpassoainstall; db1234; db2; db1;
      databasepassword; databasepass; dbpassword; dbpass; domainpassword;
      domainpass; hello; hell; love; money; slut; bitch; fuck; exchange;
      loginpass; login; qwe; zxc; asd; qaz; win2000; winnt; winxp; win2k;
      win98; windows; oeminstall; oem; accounting; accounts; letmein; sex;
      outlook; mail; qwerty; temp123; temp; null; default; changeme; demo;
      test; 2005; 2004; 2001; secret; payday; deadline; work; 1234567890;
      123456789; 12345678; 1234567; 123456; 12345; 1234; 123; 007; pwd;
      pass; pass1234; dba; passwd; password; password1; abc



Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: bignato5hg.**********
Port: 1863
Canal: #soundblaster
Nick: i-%combinatie de caractere aleatoare%

Server: mine.ISDON4.**********
Port: 1863
Canal: #soundblaster
Nick: i-%combinatie de caractere aleatoare%



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
    • Informatii despre drivere
    • Spatiu liber pe disc
    • Memorie nealocata
    • Informatii despre retea
    • Cantitatea de memorie
    • Utilizator
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS SYN
    • descarcare fisier
    • Scaneaza reteaua

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole stocate, folosite de functia AutoComplete

– Urmatoarele CD-keys:
   • World Of Warcraft
   • Unreal3
   • Steam
   • Conquer Online

– Parolele din urmatoarele programe:
   • FlashFXP
   • OutlookExpress
   • MSN

– O rutina de logare este pornita dupa ce se tasteaza unul din urmatorele texte:
   • paypal; cd key; cd-key; cdkey; passwort; auth; sxt; login; pw=; pass=;
      login=; password=; username=; passwd=; :auth; identify; oper;
      MailPass; pass; unknown; user

– Face captura la:
    • Datele introduse de la tastatura

– Este pornita o rutina de logare dupa ce viziteaza un site care contine urmatorul sir de caractere in URL:
   • paypal.com

– Face captura la:
    • Informatii de logare

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • c2301097005ee0617399022b8f519763a06d

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Adriana Popa on Wednesday, December 13, 2006
Description updated by Adriana Popa on Monday, December 18, 2006

Back . . . .