Nom:Worm/IRCBot.EW
La date de la découverte:23/08/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:8.204 Octets
Somme de contrôle MD5:d5f5c6768beea05a6c0d72ecb69d27d1
Version VDF:6.31.1.166

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: W32.Esbot.A
   •  Mcafee: W32/IRCbot.worm.gen
   •  Kaspersky: Backdoor.Win32.IRCBot.ew
   •  F-Secure: W32/Ircbot.T
   •  Bitdefender: Backdoor.Ircbot.EW


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\mousemm.exe



Il supprime sa propre copie, exécutée initialement



Le fichier suivant est créé:

%WINDIR%\debug\dcpromo.log

 Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\mousemm]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"=%réglages définis par l'utilisateur%
     "DisplayName"="Mouse Movement Monitor"
     "ObjectName"="LocalSystem"
     "FailureActions"=%réglages définis par l'utilisateur%
     "Description"="Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability."

– [HKLM\SYSTEM\CurrentControlSet\Services\mousemm\Security]
   • "Security"=%réglages définis par l'utilisateur%
     

– [HKLM\SYSTEM\CurrentControlSet\Services\mousemm\Enum]
   • "0"="Root\\LEGACY_MOUSEMM\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Ole]
   L'ancienne valeur:
   • "EnableDCOM"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableDCOM"="n"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   L'ancienne valeur:
   • "restrictanonymous"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS05-039 (Vulnerability in Plug and Play)

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: **********.is-a-fag.net
Port: 18067
Canal: #p1
Pseudonyme: p1-%chaîne de caractères aléatoire de huit digits%
Mot de passe: 8mfpdofw

Serveur: **********.legi0n.net
Port: 18067
Canal: #p1
Pseudonyme: p1-%chaîne de caractères aléatoire de huit digits%
Mot de passe: 8mfpdofw


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • Télécharger un fichier
    • Exécuter un fichier
    • Finir le processus
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Démarrer une routine de propagation
    • Terminer un processus

 Porte dérobée Le port suivant est ouvert:

%le fichier exécuté% sur le port TCP 30722 afin de fournir de capacités de porte dérobée

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus:
   • explorer.exe

   Si le malware échoue, il continuera de fonctionner comme processus.

 Informations divers Mutex:
Il crée le Mutex suivant:
   • mousemm

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • MEW 11

Description insérée par Razvan Olteanu le jeudi 1 septembre 2005
Description mise à jour par Razvan Olteanu le jeudi 1 septembre 2005

Retour . . . .