Nom:Worm/RBot.72262
La date de la découverte:30/08/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:72,262 Octets
Somme de contrôle MD5:5378ccf46e1f5843d8cc1317452f8c39
Version VDF:6.30.0.222

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: W32.Spybot.Worm
   •  Mcafee: W32/Sdbot.worm.gen.l
   •  Kaspersky: Backdoor.Win32.Rbot.gen
   •  TrendMicro: WORM_RBOT.BIQ
   •  Sophos: W32/Rbot-ADV
   •  VirusBuster: Worm.Rbot.BRI
   •  Bitdefender: Backdoor.Rbot.JB


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il diminue les réglages de sécurité
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %sysdir%\SystemDll.exe



Il supprime sa propre copie, exécutée initialement

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft DLL Extensions"="SystemDll.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft DLL Extensions"="SystemDll.exe"



Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Microsoft DLL Extensions"="SystemDll.exe"



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Ole]
   L'ancienne valeur:
   • %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   L'ancienne valeur:
   • %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • c$\windows\system32
   • c$\winnt\system32
   • Admin$\system32


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– La liste suivante de noms d'utilisateurs:
   • adm; db2; oracle; dba; database; default; guest; wwwadmin; teacher;
      student; owner; computer; staff; admins; administrat; administrateur;
      administrador; administrator

– La liste suivante de mots de passe:
   • intranet; lan; main; winpass; blank; office; control; nokia; siemens;
      compaq; dell; cisco; ibm; orainstall; sqlpassoainstall; sql; db1234;
      db1; domain; hello; hell; god; sex; slut; bitch; fuck; exchange;
      backup; technical; loginpass; login; mary; katie; kate; george; eric;
      chris; ian; neil; lee; brian; susan; sue; sam; luke; peter; john;
      mike; bill; fred; joe; jen; bob; qwe; zxc; asd; qaz; win2000; winnt;
      winxp; win2k; win98; windows; oeminstall; oemuser; oem; user;
      homeuser; home; accounting; accounts; internet; www; web; outlook;
      mail; qwerty; null; server; system; changeme; linux; unix; demo; none;
      test; 2004; 2003; 2002; 2001; 2000; 1234567890; 123456789; 12345678;
      1234567; 123456; 12345; 1234; 123; 007; databasepassword; data;
      databasepass; dbpassword; dbpass; access; domainpassword; domainpass;
      pwd; pass; pass1234; passwd; password; password1



La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS03-026 (Buffer Overrun in RPC Interface)


La création des adresses IP:
Il crée des adresses IP aléatoires et il essaye d'établir une connexion avec elles.


Le processus d'infection:
Il crée un script TFTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: sql.**********ggazpwn.net
Port: 4447
Canal: #MSNOWN#
Pseudonyme: USA|<%chaîne de caractères aléatoire de cinq digits%>
Mot de passe: durty

Serveur: www.**********age.net
Port: 4447
Canal: #MSNOWN#
Pseudonyme: USA|<%chaîne de caractères aléatoire de cinq digits%>
Mot de passe: durty

Serveur: unknown.**********net.net
Port: 4447
Canal: #MSNOWN#
Pseudonyme: USA|<%chaîne de caractères aléatoire de cinq digits%>
Mot de passe: durty



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Capture d'écran
    • Capture de web caméra
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Information sur des processus courants
    • Nom d'utilisateur
    • L'activité local des utilisateurs


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS TCP
    • Lance des attaques DDoS UDP
    • Désactiver DCOM
    • Désactiver les partages réseau
    • Activer DCOM
    • Activer les partages réseau
    • Exécuter un fichier
    • Finir le processus
    • Ouvrir une ligne de commande à distance
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Redémarrer le système
    • Envoyer des e-mails
    • Arrêter le système
    • Démarrer une routine de propagation
    • Terminer un processus
    • Se mettre à jour tout seul
    • Charger un fichier

 Arrêt de processus: La liste des processus qui sont terminés:
   • i11r54n4.exe; irun4.exe; d3dupdate.exe; rate.exe; ssate.exe;
      winsys.exe; winupd.exe; SysMonXP.exe; bbeagle.exe; Penis32.exe;
      teekids.exe; MSBLAST.exe; mscvb32.exe; sysinfo.exe; PandaAVEngine.exe;
      wincfg32.exetaskmon.exe; zonealarm.exe; navapw32.exe; navw32.exe;
      zapro.exe; msblast.exe; netstat.exe; msconfig.exe; regedit.exe


 Vol d'informations Il essaie de voler l'information suivante:

– Les clés de CD suivantes:
   • Neverwinter Nights (Hordes of the Underdark); Neverwinter Nights
      (Shadows of Undrentide); Neverwinter Nights; Soldier of Fortune II -
      Double Helix; Hidden & Dangerous 2; Chrome; NOX; Command and Conquer:
      Red Alert 2; Command and Conquer: Red Alert; Command and Conquer:
      Tiberian Sun; Rainbow Six III RavenShield; Nascar Racing 2003; Nascar
      Racing 2002; NHL 2003; NHL 2002; FIFA 2003; FIFA 2002; Shogun: Total
      War: Warlord Edition; Need For Speed: Underground; Need For Speed Hot
      Pursuit 2; Medal of Honor: Allied Assault: Spearhead; Medal of Honor:
      Allied Assault: Breakthrough; Medal of Honor: Allied Assault; Global
      Operations; Command and Conquer: Generals; James Bond 007: Nightfire;
      Command and Conquer: Generals (Zero Hour); Black and White;
      Battlefield Vietnam; Battlefield 1942 (Secret Weapons of WWII);
      Battlefield 1942 (Road To Rome); Battlefield 1942; Freedom Force; IGI
      2: Covert Strike; Unreal Tournament 2004; Unreal Tournament 2003;
      Soldiers Of Anarchy; Legends of Might and Magic; Industry Giant 2;
      Half-Life; Gunman Chronicles; The Gladiators; Counter-Strike (Retail)

– Une routine de journalisation est commencée après qu'un site web soit visité, qui contient une des sous chaînes de caractères suivantes dans l'URL.
   • paypal
   • PAYPAL
   • paypal.com
   • PAYPAL.COM

– Il capture:
    • Information du compte

 Informations divers Mutex:
Il crée le Mutex suivant:
   • Susie091

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Iulia Diaconescu le mercredi 31 août 2005
Description mise à jour par Iulia Diaconescu le lundi 19 septembre 2005

Retour . . . .