Nom:Worm/RB.101376.14.B
La date de la découverte:15/08/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:101.376 Octets
Somme de contrôle MD5:ff9b652337043bb7e46f94e50284204f
Version VDF:6.31.1.110

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: W32.Spybot.Worm
   •  Mcafee: W32/Sdbot.worm.gen.h
   •  Kaspersky: Backdoor.Win32.Rbot.gen
   •  TrendMicro: WORM_RBOT.CDS
   •  F-Secure: W32/Backdoor.EXW
   •  VirusBuster: Worm.RBot.CEK
   •  Bitdefender: Backdoor.SDBot.054EA1A5


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\MSLSA32.exe



Il supprime sa propre copie, exécutée initialement

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS04-011 (LSASS Vulnerability)


La création des adresses IP:
Il crée des adresses IP aléatoires et il essaye d'établir une connexion avec elles.


Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: ns1.gol**********.com.ar
Port: 65053
Le mot de passe du serveur: PASS
Canal: #g-scan#
Pseudonyme: [0]USA|%chaîne de caractères aléatoire de deux digits%
Mot de passe: argrulex

Serveur: ns1.gol**********.com.ar
Port: 65053
Le mot de passe du serveur: PASS
Canal: #g-down1#
Pseudonyme: [0]USA|%chaîne de caractères aléatoire de deux digits%
Mot de passe: argrulex

Serveur: ns1.gol**********.com.ar
Port: 65080
Le mot de passe du serveur: PASS
Canal: #g-down2#
Pseudonyme: [0]USA|%chaîne de caractères aléatoire de deux digits%
Mot de passe: argrulex



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Taille de mémoire
    • Répertoire de système


– Ensuite il a la capacité d'opérer des actions tel que:
    • Télécharger un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC

 Informations divers Mutex:
Il crée le Mutex suivant:
   • st@ch3ndr4th-l4st-v3r

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • ASPack 2.12

Description insérée par Victor Tone le jeudi 25 août 2005
Description mise à jour par Victor Tone le lundi 29 août 2005

Retour . . . .