Nom:Worm/IRCBot.AZ.58
La date de la découverte:06/09/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:110.181 Octets
Somme de contrôle MD5:4c6f497013fa84ddae063c3915c3bf62
Version VDF:6.31.0.220

 Général Méthodes de propagation:
   • Le réseau local
   • Mapped network drives


Les alias:
   •  Symantec: W32.Spybot.Worm
   •  Mcafee: W32/Pate.dr
   •  Kaspersky: Backdoor.Win32.IRCBot.az
   •  TrendMicro: BKDR_IRCBOT.AL
   •  F-Secure: W32/Sdbot.LEZ
   •  VirusBuster: Worm.RBot.CAC
   •  Bitdefender: Backdoor.SDBot.358ABA45


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\tesakrmger.exe



Il supprime sa propre copie, exécutée initialement

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Windeows NetStart Service2"="tesakrmger.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "Windeows NetStart Service2"="tesakrmger.exe"



La clé de registre suivante est ajoutée:

– HKCU\Software\Microsoft\OLE
   • "Windeows NetStart Service2"="tesakrmger.exe

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • IPC$
   • Admin$\system32
   • c$\winnt\system32
   • c$\windows\system32


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

–Les noms d'utilisateurs et les mots de passe en antémémoire.

– La liste suivante de noms d'utilisateurs:
   • accounting; accounts; admin; administrador; administrat;
      administrateur; administrator; admins; bill; bob; brian; chris;
      computer; database; default; eric; fred; george; guest; home;
      homeuser; ian; internet; intranet; jen; joe; john; kate; katie; lee;
      luke; mary; mike; neil; oem; oeminstall; oemuser; oracle; owner;
      peter; root; sam; staff; student; sue; susan; teacher; user; windows;
      bob; wwwadmin

– La liste suivante de mots de passe:
   • 7; 123; 1234; 2000; 2001; 2002; 2003; 2004; 12345; 123456; 1234567;
      12345678; 123456789; 1234567890; access; adm; admin; administrador;
      administrat; administrateur; administrator; admins; asd; backup;
      bitch; blank; changeme; cisco; compaq; control; data; database;
      databasepass; databasepassword; db1; db1234; db2; dbpass; dbpassword;
      default; dell; demo; domain; domainpass; domainpassword; exchange;
      fuck; god; guest; hell; hello; ibm; internet; lan; linux; login;
      loginpass; mail; main; nokia; none; null; office; oracle; orainstall;
      outlook; pass; pass1234; passwd; password; password1; pwd; qaz; qwe;
      qwerty; root; server; sex; siemens; slut; sql; sqlpassoainstall;
      system; technical; test; unix; web; win2000; win2k; win98; winnt;
      winpass; winxp; www; zxc



La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
– La porte dérobée Bagle (port 2745)
– La porte dérobée Kuang (port 17300)
– La porte dérobée Mydoom (port 3127)
– La porte dérobée NetDevil (port 903)
– La porte dérobée Optix (port 3140)
– La porte dérobée SubSeven (port 27347)
– Le contrôle à distance DameWare (port 6129)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.


Le processus d'infection:
Crée un script TFTP ou FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.


Ralentissement de connexion:
–Il crée de multiples fils d'infection.
– Selon la largeur de votre bande passante, il est possible d'avoir une baisse de votre vitesse de réseau. Car comme l'activité réseau de ce malware est moyen il est possible qu'il ne soit pas détecter si vous avez une connexion à haut débit.
– Il est également possible de remarquer un léger ralentissement du système dû aux multiples fils d'exécution créés en réseau.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: wiched.unstable**********.info
Port: 6667
Canal: #Ownerz
Pseudonyme: USA|%chaîne de caractères aléatoire%
Mot de passe: netown3rz



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antémémoire:
    • Capture d'écran
    • Capture de web caméra
    • Vitesse du CPU
    • Utilisateur courant
    • Détails sur les pilots
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Information sur des processus courants
    • Taille de mémoire
    • Répertoire de système
    • Nom d'utilisateur
    • Répertoire de Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS TCP
    • Lance des attaques DDoS UDP
    • Désactiver DCOM
    • Désactiver les partages réseau
    • Télécharger un fichier
    • Éditer le registre
    • Activer DCOM
    • Activer les partages réseau
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande à distance
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Opérer la redirection d'un certain port
    • Enregistrer un service
    • Redémarrer le système
    • Envoyer des e-mails
    • Commence le keylog
    • Démarrer une routine de propagation
    • Terminer un processus
    • Se mettre à jour tout seul
    • Visiter un site web

 Porte dérobée Les ports suivants sont ouverts:

%SYSDIR%\tesakrmger.exe sur le port TCP 80 afin de fournir un serveur HTTP
%SYSDIR%\tesakrmger.exe sur un port TCP aléatoire afin de fournir un serveur FTP
%SYSDIR%\tesakrmger.exe sur le port UDP 69 afin de fournir un serveur TFTP.

 Vol d'informations Il essaie de voler l'information suivante:
– L'ID du produit Windows

– Les clés de CD suivantes:
   • Soldier of Fortune II - Double Helix; Battlefield 1942; Battlefield
      1942 (Road To Rome); Battlefield 1942 (Secret Weapons of WWII);
      Battlefield Vietnam; Black and White; Chrome; Command and Conquer:
      Generals; Command and Conquer: Generals (Zero Hour); Command and
      Conquer: Red Alert; Command and Conquer: Red Alert 2; Command and
      Conquer: Tiberian Sun; Counter-Strike (Retail)"; FIFA 2002; FIFA 2003;
      Freedom Force; Global Operations; Gunman Chronicles; Half-Life; Hidden
      & Dangerous 2; IGI 2: Covert Strike; Industry Giant 2; James Bond 007:
      Nightfire; Legends of Might and Magic; Medal of Honor: Allied Assault;
      Medal of Honor: Allied Assault: Breakthrough; Medal of Honor: Allied
      Assault: Spearhead; mtkwftmkemfew3p3b7; Nascar Racing 2002; Nascar
      Racing 2003; Need For Speed Hot Pursuit 2; Need For Speed:
      Underground; Neverwinter Nights; Neverwinter Nights (Hordes of the
      Underdark); Neverwinter Nights (Shadows of Undrentide); NHL 2002; NHL
      2003; NOX; Rainbow Six III RavenShield; Shogun: Total War: Warlord
      Edition; Soldiers Of Anarchy; The Gladiators; Unreal Tournament 2003;
      Unreal Tournament 2004

– il emploie un analyseur de réseau qui vérifie la chaîne de caractères suivante :
   • :.login; :,login; :!login; :@login; :$login; :%login; :^login;
      :&login; :*login; :-login; :+login; :/login; :\login; :=login;
      :?login; :'login; :`login; :~login; : login; :.auth; :,auth; :!auth;
      :@auth; :$auth; :%auth; :^auth; :&auth; :*auth; :-auth; :+auth;
      :/auth; :\auth; :=auth; :?auth; :'auth; :`auth; :~auth; : auth; :.id;
      :,id; :!id; :@id; :$id; :%id; :^id; :&id; :*id; :-id; :+id; :/id;
      :\id; :=id; :?id; :'id; :`id; :~id; : id; :.hashin; :!hashin;
      :$hashin; :%hashin; :.secure; :!secure; :.l; :!l; :$l; :%l; :.x; :!x;
      :$x; :%x; :.syn; :!syn; :$syn; :%syn

– Une routine de journalisation est commencé après que les chaînes de caractères suivantes soient tapées:
   • USER
   • PASS
   • paypal
   • PAYPAL
   • paypal.com
   • PAYPAL.COM

 Informations divers Mutex:
Il crée le Mutex suivant:
   • mansorbetaf1le


Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
   • netmaniac was here

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec les logiciels de compression des exécutables suivants:
   • PE_Patch;
   • MewBundle;
   • MEW;
   • NSPack;

Description insérée par Irina Boldea le mardi 6 septembre 2005
Description mise à jour par Irina Boldea le lundi 19 septembre 2005

Retour . . . .