Description complète

Nom:	Worm/IRCBot.FU
La date de la découverte:	06/09/2005
Type:	Ver
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	197.632 Octets
Somme de contrôle MD5:	dace533a43e910fa460159247b8fb8ec
Version VDF:	6.31.1.210

Général Méthode de propagation:
   • Le réseau local

Les alias:
   • Kaspersky: Backdoor.Win32.IRCBot.fu
   • TrendMicro: BKDR_IRCBOT.AQ
   • VirusBuster: Worm.IRCBot.DU
   • Bitdefender: Backdoor.IRCBot.FU

Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il crée sa propre copie en employant un nom de fichier d'une liste:
– A: %SYSDIR% employant un des noms suivants:
   • logon.exe
   • firewall.exe
   • algs.exe
   • explorer.exe
   • Isass.exe
   • iexplore.exe
   • spoolsvc.exe
   • winamp.exe
   • csrs.exe

Il supprime sa propre copie, exécutée initialement

Les fichiers suivants sont créés:

– %SYSDIR%\aspr_keys.ini
– %le dossier d'exécution du malware%\aspr_keys.ini
– %le dossier d'exécution du malware%\%chaîne de caractères aléatoire%.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Logon Application"="%SYSDIR%\logon.exe"
   • "Application Layer Gateway Service"="%SYSDIR%\algs.exe"
   • "Windows Explorer"="%SYSDIR%\explorer.exe"
   • "Local Security Authority Service"="%SYSDIR%\Isass.exe"
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"
   • "Spooler SubSystem App"="%SYSDIR%\spoolsvc.exe"
   • "Winamp Agent"="%SYSDIR%\winamp.exe"
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"
   • "Windows Network Firewall"="%SYSDIR%\firewall.exe"

Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • c$\windows
   • c$\winnt
   • d$\shared
   • e$\shared
   • print$
   • IPC$
   • admin$
   • admin$\system32

Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

–Les noms d'utilisateurs et les mots de passe en antémémoire.

– La liste suivante de noms d'utilisateurs:
   • "staff"; "teacher"; "owner"; "student"; "intranet"; "lan"; "main";
      "office"; "control"; "siemens"; "compaq"; "dell"; "cisco"; "ibm";
      "oracle"; "sql"; "data"; "access"; "database"; "domain"; "god";
      "backup"; "technical"; "mary"; "katie"; "kate"; "george"; "eric";
      "none"; "guest"; "chris"; "ian"; "neil"; "lee"; "brian"; "susan";
      "sue"; "sam"; "luke"; "peter"; "john"; "mike"; "bill"; "fred"; "joe";
      "jen"; "bob"; "wwwadmin"; "oemuser"; "user"; "homeuser"; "home";
      "internet"; "www"; "web"; "root"; "server"; "linux"; "unix";
      "computer"; "adm"; "admin"; "admins"; "administrat"; "administrateur";
      "administrador"; "administrator"

– La liste suivante de mots de passe:
   • "winpass"; "blank"; "nokia"; "orainstall"; "sqlpassoainstall";
      "db1234"; "db2"; "db1"; "databasepassword"; "databasepass";
      "dbpassword"; "dbpass"; "domainpassword"; "domainpass"; "hello";
      "hell"; "love"; "money"; "slut"; "bitch"; "fuck"; "exchange";
      "loginpass"; "login"; "qwe"; "zxc"; "asd"; "qaz"; "win2000"; "winnt";
      "winxp"; "win2k"; "win98"; "windows"; "oeminstall"; "oem";
      "accounting"; "accounts"; "letmein"; "sex"; "outlook"; "mail";
      "qwerty"; "temp123"; "temp"; "null"; "default"; "changeme"; "demo";
      "test"; "2005"; "2004"; "2001"; "secret"; "payday"; "deadline";
      "work"; "1234567890"; "123456789"; "12345678"; "1234567"; "123456";
      "12345"; "1234"; "123"; "007"; "pwd"; "pass"; "pass1234"; "dba";
      "passwd"; "password"; "password1"; "abc"

La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.

Le processus d'infection:
Crée un script TFTP ou FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

IRC Serveur: **********.149.54
Port: 5111
Canal: #sluts
Pseudonyme: %chaîne de caractères aléatoire de huit digits%

– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • L'ID de la plateforme
    • Information sur des processus courants
    • Taille de mémoire
    • Nom d'utilisateur

– Ensuite il a la capacité d'opérer des actions tel que:
    • Télécharger un fichier
    • Exécuter un fichier
    • Opérer un attaque DDoS
    • Charger un fichier

Vol d'informations Il essaie de voler l'information suivante:

– Les mots de passe des programmes suivants:
   • MSN Messenger
   • Outlook Express
   • World Of Warcraft
   • Unreal3
   • Steam
   • Conquer Online

– Une routine de journalisation est commencé après que les chaînes de caractères suivantes soient tapées:
   • "irc operator"; "paypal"; "paypal.com"; "cd key"; "cd-key"; "cdkey";
      "passwort"; "auth "; "sxt "; "login "; "pw="; "pass="; "login=";
      "password="; "username="; "passwd="; "auth"; "identify"; "oper";
      "MailPass"; "pass"; "unknown"; "user"

Informations divers Mutex:
Il crée le Mutex suivant:
   • 25b30ddc0bd83e53a3935a2b5608f03d44f7

Chaîne de caractères:
Ensuite il contient les chaînes de caractères suivantes:
   • "rxbot_paradise"
   • "rxbot was here"

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• AS Protect 1.2

Description insérée par Catalin Jora le mardi 6 septembre 2005
Description mise à jour par Catalin Jora le jeudi 8 septembre 2005

Retour . . . .