Nom:DR/IRCBot.8184.B
La date de la découverte:19/08/2005
Type:Dropper
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:8.219 Octets
Somme de contrôle MD5:84f9161a7580ca8ae571c41230eaa77d
Version VDF:6.31.1.134

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: W32.Esbot.B
   •  Mcafee: W32/Sdbot.worm.gen.by
   •  Kaspersky: Backdoor.Win32.IRCBot.ex
   •  TrendMicro: WORM_ESBOT.C
   •  F-Secure: W32/Ircbot.S
   •  Bitdefender: Win32.Worm.EsBot.B


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\wpa.exe



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

%SYSDIR%\wpa.dbl
%WINDIR%\debug\dcpromo.log



Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://**********.com/p5.jpg
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%\p5.jpg Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

 Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\system\currentcontrolset\services\wpa]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "DisplayName"="Windows Product Activation"
   • "ObjectName"="LocalSystem"

– [HKLM\system\currentcontrolset\enum\root\legacy_wpa]
   • "NextInstance"=dword:00000001

– [HKLM\system\currentcontrolset\enum\root\legacy_wpa\0000]
   • "Service"="wpa"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Windows Product Activation"

– [HKLM\system\currentcontrolset\enum\root\legacy_wpa\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="wpa"

– [HKLM\system\currentcontrolset\services\wpa]
   • "ImagePath"="%SYSDIR%\wpa.exe"

– [HKLM\system\currentcontrolset\services\wpa\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

– [HKLM\system\currentcontrolset\services\wpa]
   • "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,\
      00,01,00,00,00,00,00,00,00

– [HKLM\system\currentcontrolset\services\wpa]
   • "Description"="Windows Product Activation is an anti-piracy technology designed to verify that software products have been legitimately licensed."



Les clés de registre suivantes sont changées:

– [HKLM\system\controlset001\control\servicecurrent]
   L'ancienne valeur:
   • @=dword:%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • @=dword:0000000e

– [HKLM\software\microsoft\ole]
   L'ancienne valeur:
   • "EnableDCOM"="%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "EnableDCOM"="n"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS05-039 (Vulnerability in Plug and Play)


La création des adresses IP:
Il crée des adresses IP aléatoires et il essaye d'établir une connexion avec elles.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: 68.194.76.**********
Port: 18067
Canal: #p4
Pseudonyme: p4-%chaîne de caractères aléatoire%
Mot de passe: u79duhhk


– Ensuite il a la capacité d'opérer des actions tel que:
    • Télécharger un fichier
    • Exécuter un fichier

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Sergiu Oprea le lundi 22 août 2005
Description mise à jour par Sergiu Oprea le mardi 30 août 2005

Retour . . . .