Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:Worm/Rbot.79276
Descoperit pe data de:23/08/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:79.276 Bytes
MD5:a66a969b052de2b603184509c95182c2
Versiune VDF:6.35.01.126
Versiune IVDF:6.35.01.129 - miercuri, 23 august 2006

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Kaspersky: Backdoor.Win32.SdBot.awk
   •  Sophos: W32/Rbot-BJV
   •  VirusBuster: Worm.RBot.FQF
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.SdBot.AWK


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\winsystems.exe



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • winsystems25="winsystems.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • winsystems25="winsystems.exe"



Urmatoarele chei din registri sunt modificate:

[HKLM\SOFTWARE\Microsoft\Ole]
   Vechea valoare:
   • EnableDCOM=%setarile utilizatorului%
   Noua valoare:
   • EnableDCOM="N"

[HKLM\SYSTEM\ControlSet001\Control\Lsa]
   Vechea valoare:
   • restrictanonymous=%setarile utilizatorului%
     restrictanonymoussam=%setarile utilizatorului%
   Noua valoare:
   • restrictanonymous=dword:00000001
     restrictanonymoussam=dword:00000001
     

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • IPC$
   • C$
   • D$
   • ADMIN$


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

Lista de utilizatori si parole:
   • administrator; administrador; administrateur; administrat; admins;
      admin; staff; root; computer; owner; student; teacher; wwwadmin;
      guest; default; database; dba; oracle; db2; administrator;
      administrador; administrateur; administrat; admins; admin; adm;
      password1; password; passwd; pass1234; pass; pwd; 007; 71; 12; 123;
      1234; 12345; 123456; 1234567; 12345678; 123456789; 1234567890; 2000;
      2001; 2002; 2003; 2004; test; guest; none; demo; unix; linux;
      changeme; default; system; server; root; null; qwerty; mail; outlook;
      web; www; internet; accounts; accounting; home; homeuser; user; oem;
      oemuser; oeminstall; windows; win98; win2k; winxp; winnt; win2000;
      qaz; asd; zxc; qwe; bob; jen; joe; fred; bill; mike; john; peter;
      luke; sam; sue; susan; peter; brian; lee; neil; ian; chris; eric;
      george; kate; bob; katie; mary; login; loginpass; technical; backup;
      exchange; fuck; bitch; slut; sex; god; hell; hello; domain;
      domainpass; domainpassword; database; access; dbpass; dbpassword;
      databasepass; data; databasepassword; db1; db2; db1234; sa; sql;
      sqlpassoainstall; orainstall; oracle; ibm; cisco; dell; compaq;
      siemens; hp; nokia; xp; control; office; blank; winpass; main; lan;
      internet; intranet; student; teacher; staff



Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Creeaza un script TFTP sau FTP pe masina afectata, pentru a descarca malware la distanta, pe un alt sistem.


Activare de la distanta:
Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: boughtem.nowslate1703.**********
Port: 22430
Canal: #ploit #ploit2
Nick: USA|%sir de 6 caractere aleatoare%
Parola: he he



 Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
     Informatii despre drivere
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • Informatii despre procesele sistemului
    • Director sistem
    • Utilizator
    • Informatii despre sistemul de operare


 In plus, poate efectua urmatoarele operatii:
     conectare server IRC
     Lanseaza atacuri DDoS SYN
    • dezactivare DCOM
    • dezactivarea partajarii de resurse in retea
     deconectare server IRC
    • descarcare fisier
    • activare DCOM
    • activarea partajarii de resurse in retea
    • intrare pe canal IRC
    • terminare proces
    • parasire canal IRC
    • deschidere consola
     Scaneaza reteaua
    • repornirea sistemului
     Se actualizeaza singur
    • Face upload la un fisier

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • ploit1

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Ana Maria Niculescu on Friday, November 23, 2007
Description updated by Andrei Gherman on Monday, November 26, 2007

Back . . . .