Nume:Worm/Botsie
Descoperit pe data de:30/05/2007
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:499.712 Bytes
MD5:c44df8425589705fcd32694a3a7a77ac
Versiune IVDF:6.38.01.204 - Wednesday, May 30, 2007

 General Metode de raspandire:
   • Reteaua locala
   • Messenger


Alias:
   •  Mcafee: W32/Sdbot.worm.gen.ca
   •  Kaspersky: Backdoor.Win32.VanBot.da
   •  F-Secure: Backdoor.Win32.VanBot.da
   •  Sophos: W32/Vanebot-AT
   •  Panda: W32/IRCbot.AUU.worm
   •  Grisoft: IRC/BackDoor.SdBot3.BJA
   •  Eset: Win32/IRCBot.UG


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Reduce setarile de securitate
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\dllcache\winsntp.exe



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Memorex Network Analysis Tool]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %SYSDIR%\dllcache\winsntp.exe
   • DisplayName = Memorex Network Analysis Tool
   • ObjectName = LocalSystem
   • FailureActions = %valori hex%
   • Description = Memorex Network tool is a TCP analysis tool.

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Memorex Network Analysis Tool\Security]
   • Security = %valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Memorex Network Analysis Tool\Enum]
   • 0 = Root\LEGACY_MEMOREX_NETWORK_ANALYSIS_TOOL\0000
   • Count = 1
   • NextInstance = 1

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– AIM Messenger
– ICQ Messenger
– Windows Live Messenger
– Yahoo Messenger


Catre:
Toate intrarile din lista de contacte.

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

– Lista de utilizatori si parole:
   • www; windows; web; visitor; test2; test1; test; temp; telnet; ruler;
      remote; real; random; qwerty; public; pub; private; poiuytre;
      password; passwd; pass; oracle; one; nopass; nobody; nick; newpass;
      new; network; monitor; money; manager; mail; login; internet; install;
      hello; guest; free; demo; default; debug; database; crew; computer;
      coffee; bin; beta; backup; backdoor; anonymous; anon; alpha; adm;
      access; abc123; abc; system; sys; super; sql; shit; shadow; setup;
      security; secure; secret; 123456789; 12345678; 1234567; 123456; 12345;
      1234; 123; 00000000; 0000000; 000000; 00000; 0000; 000; server;
      asdfgh; admin; root



Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnerability in Server Service)


Procesul de infectare:
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: 66.64.36.**********
Port: 4904
Canal: #net#
Nick: 0]USA|%versiune Windows%[P]%cateva cifre aleatoare%



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Parole retinute
    • Viteza procesorului
    • Utilizatorul curent
    • Informatii despre drivere
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Cantitatea de memorie
    • Utilizator
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS SYN
    • descarcare fisier
    • executarea unui fisier
    • Scaneaza reteaua
    • Porneste keylog
    • Porneste rutina de raspandire
    • terminare proces malware
    • terminare proces

 Terminarea proceselor Procesele care contin urmatoarele siruri de caractere sunt oprite:
   • Ad-aware; spyware; hijack; kav; proc; norton; mcafee; f-pro; lockdown;
      firewall; blackice; avg; vsmon; zonea; spybot; nod32; reged; avp;
      troja; viru; anti


Lista cu serviciile dezactivate:
   • Norton AntiVirus Auto Protect Service
   • Mcshield
   • Panda Antivirus

 Backdoor Deschide porturile:

– %SYSDIR%\dllcache\winsntp.exe port TCP aleator pentru a functiona ca server FTP.
– %SYSDIR%\dllcache\winsntp.exe port TCP aleator pentru a functiona ca un server proxy Socks 4,

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • Themida

Description inserted by Andrei Gherman on Wednesday, October 24, 2007
Description updated by Andrei Gherman on Wednesday, October 24, 2007

Back . . . .