Nom:Worm/IRCBot.FV
La date de la découverte:05/09/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:197.632 Octets
Somme de contrôle MD5:33c887fbcd45fe82a0c8acf6a619b9a1
Version VDF:6.31.1.212

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: W32.Spybot.Worm
   •  Kaspersky: Backdoor.Win32.IRCBot.fv
   •  TrendMicro: WORM_SDBOT.CDS
   •  VirusBuster: Worm.IRCBot.DW


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il crée sa propre copie en employant un nom de fichier des listes:
– A: %SYSDIR%\ employant un des noms suivants:
   • isass.exe
   • iexplore.exe
   • spoolsvc.exe
   • firewall.exe
   • winIogon.exe
   • csrs.exe




Il supprime sa propre copie, exécutée initialement

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Local Security Authority Service"="%SYSDIR%\Isass.exe"
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"
   • "Spooler SubSystem App"="%SYSDIR%\spoolsvc.exe"
   • "Windows Network Firewall"="%SYSDIR%\firewall.exe"
   • "Windows Logon Application"="%SYSDIR%\winIogon.exe"
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"
   • "Winamp Agent"="%SYSDIR%\winamp.exe"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • print$
   • C$\Documents and Settings\All Users\Documents\$
   • c$\windows\system32
   • c$\shared
   • c$\winnt\system32
   • admin$
   • Admin$\system32
   • c$\windows
   • c$\winnt
   • e$\shared
   • d$\shared


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– La liste suivante de noms d'utilisateurs:
   • staff; teacher; owner; student; intranet; lan; main; office; control;
      siemens; compaq; dell; cisco; ibm; oracle; sql; data; access;
      database; domain; god; backup; technical; mary; katie; kate; george;
      eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
      luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
      user; homeuser; home; internet; www; web; root; server; linux; unix;
      computer; adm; admin; admins; administrat; administrateur;
      administrador; administrator

– La liste suivante de mots de passe:
   • winpass; blank; nokia; orainstall; sqlpassoainstall; db1234; db2; db1;
      databasepassword; databasepass; dbpassword; dbpass; domainpassword;
      domainpass; hello; hell; love; money; slut; bitch; fuck; exchange;
      loginpass; login; qwe; zxc; asd; qaz; win2000; winnt; winxp; win2k;
      win98; windows; oeminstall; oem; accounting; accounts; letmein; sex;
      outlook; mail; qwerty; temp123; temp; null; default; changeme; demo;
      test; 2005; 2004; 2001; secret; payday; deadline; work; 1234567890;
      123456789; 12345678; 1234567; 123456; 12345; 1234; 123; 007; pwd;
      pass; pass1234; dba; passwd; password; password1; abc



La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS04-011 (LSASS Vulnerability)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: b.**********loan.com
Port: 8080
Canal: #b
Pseudonyme: %chaîne de caractères aléatoire de huit digits%

Serveur: b.**********loan.com
Port: 8080
Canal: #b
Pseudonyme: %chaîne de caractères aléatoire de huit digits%



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antémémoire:
    • Vitesse du CPU
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • L'ID de la plateforme
    • Taille de mémoire


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS TCP
    • Télécharger un fichier
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande à distance
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Envoyer des e-mails
    • Démarrer une routine de propagation
    • Charger un fichier
    • Visiter un site web

 Vol d'informations Il essaie de voler l'information suivante:

– Les clés de CD suivantes:
   • World Of Warcraft
   • Unreal3
   • Conquer Online

– Les mots de passe des programmes suivants:
   • FlashFXP
   • MSN Messenger
   • Hotmail
   • Outlook
   • Outlook Express

– Une routine de journalisation est commencée après qu'un site web soit visité, qui contient une des sous chaînes de caractères suivantes dans l'URL.
   • paypal
   • paypal.com

– Il capture:
    • Frappes de touche
    • Information du compte

 Informations divers Synchronisation du temps:
Afin de synchroniser le temps local il contact le serveur NTP sur le port 123:
   • pool.ntp.org


Chaîne de caractères:
Ensuite il contient les chaînes de caractères suivantes:
   • rxbot_paradise
   • rxbot was here
   • rxbot

Description insérée par Razvan Olteanu le mardi 6 septembre 2005
Description mise à jour par Razvan Olteanu le jeudi 8 septembre 2005

Retour . . . .