Nom:Worm/IRCBot.EX
La date de la découverte:19/08/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:8.275 Octets
Somme de contrôle MD5:38b3ca593642abdf5a1cfe9183040ca6
Version VDF:6.31.1.150

 Général Méthode de propagation:
   • Le réseau local


L'alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.ex


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\ssl.exe



Il supprime sa propre copie, exécutée initialement



Le fichier suivant est créé:

%WINDIR%\debug\dcpromo.log

 Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– HKLM\system\currentcontrolset\services\ssl
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "DisplayName"="Microsoft SSL"
   • "ObjectName"="LocalSystem"
   • "Description"="Provides communication security between clients and servers over TCP. If this service is stopped, TCP security between clients and servers on the network will be impaired. If this service is disabled, any services that explicitly depend on it will fail to"

– HKLM\system\currentcontrolset\services\ssl\Enum
   • "0"="Root\\LEGACY_SSL\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\system\currentcontrolset\enum\root\legacy_ssl
   • "NextInstance"=dword:00000001

– HKLM\system\currentcontrolset\enum\root\legacy_ssl\0000
   • "Service"="ssl"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Microsoft SSL"

– HKLM\system\currentcontrolset\enum\root\legacy_ssl\0000\Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="ssl"

– HKLM\system\currentcontrolset\services\ssl
   • "ImagePath"= %WINDIR%\ssl.exe

– HKLM\system\currentcontrolset\services\ssl
   • "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,74,00,20,\
      00,01,00,00,00,00,00,00,00

– HKLM\system\currentcontrolset\services\ssl\Security
   • "Security"=%WINDIR%\ssl.exe



Les clés de registre suivantes sont changées:

– HKLM\system\controlset001\control\servicecurrent
   L'ancienne valeur:
   • @=dword:%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • @=dword:0000000e

– HKLM\software\microsoft\ole
   L'ancienne valeur:
   • "EnableDCOM"="%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "EnableDCOM"="n"

– HKLM\system\currentcontrolset\control\lsa
   L'ancienne valeur:
   • "restrictanonymous"=dword:%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS04-011 (LSASS Vulnerability)


La création des adresses IP:
Il crée des adresses IP aléatoires et il essaye d'établir une connexion avec elles.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: **********.wallloan.com
Port: 18067
Canal: #p5
Pseudonyme: p5-<%chaîne de caractères aléatoire%>
Mot de passe: wolnqjnr


– Ensuite il a la capacité d'opérer des actions tel que:
    • Télécharger un fichier
    • Exécuter un fichier
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Se mettre à jour tout seul

Description insérée par Sergiu Oprea le vendredi 26 août 2005
Description mise à jour par Sergiu Oprea le mardi 30 août 2005

Retour . . . .