Nom:Worm/Aimbot.158720
La date de la découverte:08/09/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:158.720 Octets
Somme de contrôle MD5:82B7C1BCD80C7B8D07DF6B1D005EBEB1
Version VDF:6.31.01.134

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Mcafee: W32/Spybot.worm.gen.o
   •  Kaspersky: Trojan.Win32.Pakes
   •  TrendMicro: WORM_AGOBOT.AVX
   •  Bitdefender: Trojan.Pakes.Y


Plateformes / Systèmes d'exploitation:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie les vulnérabilités de software
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\Internet.exe



Il supprime sa propre copie, exécutée initialement

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Micrcoft Updat"="Internet.exe"



La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\OLE]
   • "Micrcoft Updat"="Internet.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Micrcoft Updat"="Internet.exe"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • IPC$
   • ADMIN$
   • C$


La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde le premier octet de son propre adresse. Ensuite il essaye d'établir une connexion avec les adresses créées.


Le processus d'infection:
Il crée un script TFTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.


Ralentissement de connexion:
– Nombre d'infections déclanchées: 300
– Selon la largeur de votre bande passante, il est possible d'avoir une légère baisse de votre vitesse de réseau. Car comme l'activité réseau de ce malware est basse, il est possible qu'il ne soit pas détecter du tout.
– Vous pourriez également constater un léger ralentissement du système dû aux multiples fils d'exécution créés en réseau.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: fuckrx.**********end.net
Port: 2001
Canal: #MoTjWeL# moting
Pseudonyme: [%chaîne de caractères aléatoire%]|%chaîne de caractères aléatoire de cinq digits%



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Capture d'écran
    • Capture de web caméra
    • Vitesse du CPU
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mémoire libre
    • Taille de mémoire
    • Répertoire de système
    • Nom d'utilisateur
    • Répertoire de Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS TCP
    • Lance des attaques DDoS UDP
    • Joindre le canal IRC
    • Quitter la canal IRC
    • Scanner le réseau

 Porte dérobée Les ports suivants sont ouverts:

%SYSDIR%\Internet.exe sur un port TCP aléatoire afin de fournir un serveur FTP
%SYSDIR%\Internet.exe sur le port UDP 69 afin de fournir un serveur TFTP.

 Vol d'informations Il essaie de voler l'information suivante:
– L'ID du produit Windows

– Les clés de CD suivantes:
   • Neverwinter Nights (Hordes of the Underdark); Neverwinter Nights
      (Shadows of Undrentide); Neverwinter Nights"; Soldier of Fortune II -
      Double Helix; Hidden & Dangerous 2; Chrome; NOX; Command and Conquer:
      Red Alert 2; Command and Conquer: Tiberian Sun; Rainbow Six III
      RavenShield; Nascar Racing 2003; Nascar Racing 2002; NHL 2003; NHL
      2002; FIFA 2003; FIFA 2002; Shogun: Total War: Warlord Edition; Need
      For Speed: Underground; Need For Speed Hot Pursuit 2; Medal of Honor:
      Allied Assault: Spearhead; Medal of Honor: Allied Assault:
      Breakthrough; Medal of Honor: Allied Assault; Command and Conquer:
      Generals; James Bond 007: Nightfire; Command and Conquer: Generals
      (Zero Hour); Black and White; Battlefield Vietnam; Battlefield 1942
      (Secret Weapons of WWII); Battlefield 1942 (Road To Rome); Battlefield
      1942; Freedom Force; IGI 2: Covert Strike; Unreal Tournament 2004;
      Unreal Tournament 2003; Soldiers Of Anarchy; Legends of Might and
      Magic; Industry Giant 2; Half-Life; Gunman Chronicles; The Gladiators;
      Counter-Strike (Retail)

– il emploie un analyseur de réseau qui vérifie la chaîne de caractères suivante :
   • : auth; : login; :!auth; :!hashin; :!login; :!secure; :!syn; :$auth;
      :$hashin; :$login; :$syn; :%auth; :%hashin; :%login; :%syn; :&auth;
      :&login; : auth; : login; :,auth; :,login; :.auth; :.hashin; :.login;
      :.secure; :.syn; :/auth; :/login; :?auth; :?login; :@auth; :@login;
      :\auth; :\login; :~auth; :~login; :+auth; :+login; :=auth; :=login;
      :'auth; :-auth; :'login; :-login; paypal; PAYPAL; paypal.com;
      PAYPAL.COM

 Informations divers Mutex:
Il crée le Mutex suivant:
   • [MoTjWeL]

Description insérée par Dragos Tomescu le jeudi 8 septembre 2005
Description mise à jour par Oliver Auerbach le jeudi 13 avril 2006

Retour . . . .