Nume:Worm/IRCBot.EV.1
Descoperit pe data de:24/08/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:38.400 Bytes
MD5:7551ca56b533e6ba86d3c0b2b4c8485e
Versiune VDF:6.31.1.158

 General Metode de raspandire:
   • Reteaua locala
   • Discuri de retea mapate


Alias:
   •  Symantec: W32.IRCBot
   •  Kaspersky: Backdoor.Win32.IRCBot.ev
   •  TrendMicro: BKDR_IRCBOT.AS
   •  Sophos: W32/Sdbot-Fam
   •  VirusBuster: Worm.SdBot.BDZ
   •  Bitdefender: BehavesLike:Win32.IRC-Backdoor


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\WOWCRAK.EXE

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "MEsnemd"="wowcrak.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "MEsnemd"="wowcrak.exe"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • C$\windows\system32\
   • C$\Documents and Settings\All Users\Documents\
   • C$\shared\
   • C$\winnt\system32\
   • ADMIN$\system32\


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

– Lista de parole:
   • 123qwe123; zaqxsw; zaq123; motdepass; **********; billgate;
      billgates; fred; bill; intranet; staff; teacher; student1; student;
      user1; afro; turnip; glen; freddy; internet; lan; nokia; ctx; 666;
      qweasdzxc; zxcvbnm; 123qaz; 123qwe; qwe123; qazwsx; qweasd; zxc123;
      pass1234; pwd; pass; passwd; admin; administrador; administrateur;
      administrator



Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS04-011 (LSASS Vulnerability)

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: **********.mybizz.info
Port: 1125
Canal: #mm
Nick: E%sir de 8 caractere aleatoare%


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • deconectare server IRC
    • activarea partajarii de resurse in retea
    • intrare pe canal IRC
    • parasire canal IRC
    • Porneste rutina de raspandire

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • vwevqwdw

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, sunt folosite urmatoarele programe de arhivare:
   • Morphine
   • FSG

Description insérée par Alexandru Tudor le jeudi 25 août 2005
Description mise à jour par Alexandru Tudor le lundi 29 août 2005

Retour . . . .