Nume:Worm/IRCBot.9374
Numar CME: 762
Descoperit pe data de:13/08/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:9.374 Bytes
MD5:2BF2A4F0BDAC42F4D6F8A062A7206797
Versiune VDF:6.35.01.85 - domingo 13 de agosto de 2006
Versiune IVDF:6.35.01.85 - domingo 13 de agosto de 2006

 General Metoda de raspandire:
   • Reteaua locala
   • Messenger


Alias:
   •  Symantec: Backdoor.IRC.Bot
   •  Mcafee: IRC-Mocbot!MS06-040
   •  Kaspersky: Backdoor.Win32.IRCBot.st
   •  TrendMicro: WORM_IRCBOT.JK
   •  F-Secure: Backdoor.Win32.IRCBot.st
   •  Bitdefender: Backdoor.IRCBot.ST


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Reduce setarile de securitate
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\wgavm.exe



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\wgavm]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %SYSDIR%\wgavm.exe
   • DisplayName = Windows Genuine Advantage Validation Monitor
   • ObjectName = LocalSystem
   • FailureActions = %valori hex%
   • Description = Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.

– [HKLM\SYSTEM\CurrentControlSet\Services\wgavm\Security]
   • Security = %valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\wgavm\Enum]
   • 0 = Root\LEGACY_WGAVM\0000
   • Count = 1
   • NextInstance = 1



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Vechea valoare:
   • EnableDCOM = %setarile utilizatorului%
   Noua valoare:
   • EnableDCOM = n

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Vechea valoare:
   • restrictanonymous = %setarile utilizatorului%
   • restrictanonymoussam = %setarile utilizatorului%
   Noua valoare:
   • restrictanonymous = 1
   • restrictanonymoussam = 1

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   Noua valoare:
   • autoshareserver = 0
   • autosharewks = 0

– [HKLM\SOFTWARE\Microsoft\security center]
   Vechea valoare:
   • antivirusdisablenotify = %setarile utilizatorului%
   • antivirusoverride = %setarile utilizatorului%
   • firewalldisablenotify = %setarile utilizatorului%
   • firewalldisableoverride = %setarile utilizatorului%
   Noua valoare:
   • antivirusdisablenotify = 1
   • antivirusoverride = 1
   • firewalldisablenotify = 1
   • firewalldisableoverride = 1

Dezactiveaza Windows Firewall:
– [HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\domainprofile]
   Vechea valoare:
   • enablefirewall = %setarile utilizatorului%
   Noua valoare:
   • enablefirewall = 0

– [HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\standardprofile]
   Vechea valoare:
   • enablefirewall = %setarile utilizatorului%
   Noua valoare:
   • enablefirewall = 0

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Vechea valoare:
   • Start = %setarile utilizatorului%
   Noua valoare:
   • Start = 4

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– AIM Messenger

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS06-040 (Vulnerability in Server Service)

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: bniu.house**********
Port: 18067
Canal: #n0
Nick: n0-%combinatie de caractere aleatoare%

Server: ypgw.wall**********
Port: 18067
Canal: #n0
Nick: n0-%combinatie de caractere aleatoare%


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS UDP
    • descarcare fisier
    • executarea unui fisier
    • Porneste rutina de raspandire

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • wgavm

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Philipp Wolf el domingo 13 de agosto de 2006
Descripción actualizada por Andrei Gherman el lunes 14 de agosto de 2006

Volver . . . .