Nume:Worm/Rbot.pac.8
Descoperit pe data de:21/09/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:138.240 Bytes
MD5:10e18e783f3c5e84ee0375e783ecf77b
Versiune VDF:6.32.0.17

 General Metode de raspandire:
   • Reteaua locala
   • Discuri de retea mapate


Alias:
   •  Symantec: W32.Spybot.Worm
   •  Mcafee: W32/Sdbot.worm.gen.i
   •  Kaspersky: Backdoor.Win32.Rbot.pac
   •  Bitdefender: Backdoor.Rbot.PAC


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\updates.pif

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "System Updates Service" = "updates.pif"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "System Updates Service" = "updates.pif"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "System Updates Service" = "updates.pif"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "System Updates Service" = "updates.pif"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\Software\Microsoft\OLE]
   • "System Updates Service" = "updates.pif"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "System Updates Service" = "updates.pif"

– [HKCU\Software\Microsoft\OLE]
   • "System Updates Service" = "updates.pif"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "System Updates Service" = "updates.pif"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • C:\
   • ADMIN$
   • IPC$


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Creeaza un script TFTP sau FTP pe masina afectata, pentru a descarca malware la distanta, pe un alt sistem.

 IRC  Server: **********omfgwtfbbq.biz
Port: 4654
Parola serverului: jew1sh
Canal: #.wtf5
Nick: %combinatie de caractere aleatoare%
Parola: stfubitch

Server: **********omfgwtfbbq.biz
Port: 65529
Parola serverului: jew1sh
Canal: #.wtf5
Nick: %combinatie de caractere aleatoare%
Parola: stfubitch

Server: **********urgentupdate.net
Port: 1427
Parola serverului: jew1sh
Canal: #.wtf5
Nick: %combinatie de caractere aleatoare%
Parola: stfubitch

Server: **********urgentupdate.net
Port: 65528
Parola serverului: jew1sh
Canal: #.wtf5
Nick: %combinatie de caractere aleatoare%
Parola: stfubitch



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
    • Informatii despre drivere
    • Spatiu liber pe disc
    • Memorie nealocata
    • Informatii despre retea
    • ID-ul platformei
    • Cantitatea de memorie
    • Utilizator


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • Lanseaza atacuri DDoS ICMP
    • dezactivare DCOM
    • dezactivarea partajarii de resurse in retea
    • descarcare fisier
    • activare DCOM
    • activarea partajarii de resurse in retea
    • executarea unui fisier
    • intrare pe canal IRC
    • terminare proces
    • parasire canal IRC
    • deschidere consola
    • Scaneaza reteaua
    • redirectionare porturi
    • Inregistreaza un serviciu
    • repornirea sistemului
    • terminare proces malware
    • terminare proces
    • Vizitarea unui website

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Iulian Popa el miércoles 21 de septiembre de 2005
Descripción actualizada por Iulian Popa el miércoles 28 de septiembre de 2005

Volver . . . .