Nom:Worm/Rbot.79872.3
La date de la découverte:07/09/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:79.872 Octets
Somme de contrôle MD5:b194501e863d4007caccaa682e607aed
Version VDF:6.31.1.216

 Général Méthodes de propagation:
   • Le réseau local
   • Mapped network drives


Les alias:
   •  VirusBuster: Worm.RBot.CJK
   •  Bitdefender: Backdoor.RBot.B4FF80F8


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\google.exe



Il supprime sa propre copie, exécutée initialement

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "google"="google.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "google"="google.exe"



Les clés de registre suivantes sont changées:

– HKLM\SOFTWARE\Microsoft\Ole
   L'ancienne valeur:
   • "EnableDCOM"="%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "EnableDCOM"="N"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   L'ancienne valeur:
   • "restrictanonymous"=%réglages définis par l'utilisateur%
     "restrictanonymoussam"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001
     "restrictanonymoussam"=dword:00000001

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • C$
   • D$"
   • ADMIN$
   • IPC$


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

–Les noms d'utilisateurs et les mots de passe en antémémoire.

– La liste suivante de noms d'utilisateurs:
   • accounting; accounts; admin; administrador; administrat;
      administrateur; administrator; admins; bill; bob; brian; chris;
      computer; eric; fred; george; guest; home; homeuser; ian; internet;
      jen; joe; john; kate; katie; lee; luke; mary; mike; neil; oem;
      oeminstall; oemuser; owner; peter; root; sam; staff; student; sue;
      susan; teacher; user; wwwadmin

– La liste suivante de mots de passe:
   • 7; 123; 1234; 2000; 2001; 2002; 2003; 2004; 12345; 123456; 1234567;
      12345678; 123456789; 1234567890; access; accounting; accounts; adm;
      asd; backup; bitch; blank; changeme; cisco; compaq; control; data;
      database; databasepass; databasepassword; db1; db1234; db2; dba;
      dbpass; dbpassword; default; dell; demo; domain; domainpass;
      domainpassword; exchange; fuck; god; hell; hello; ibm; internet;
      intranet; lan; linux; login; loginpass; mail; main; nokia; none; null;
      office; oracle; orainstall; outlook; pass; pass1234; passwd; password;
      password1; pwd; qaz; qwe; qwerty; server; sex; siemens; slut; sql;
      sqlpassoainstall; system; technical; test; unix; web; win2000; win2k;
      win98; windows; winnt; winpass; winxp; www; zxc



La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.


Le processus d'infection:
Crée un script TFTP ou FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.
Il fait la machine compromise télécharger le malware à partir de l'ordinateur source infecté.


Ralentissement de connexion:
–Il crée de multiples fils d'infection.
– Selon la largeur de votre bande passante, il est possible d'avoir une baisse de votre vitesse de réseau. Car comme l'activité réseau de ce malware est moyen il est possible qu'il ne soit pas détecter si vous avez une connexion à haut débit.
– Il est également possible de remarquer un léger ralentissement du système dû aux multiples fils d'exécution créés en réseau.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: disclosure**********.server.us
Port: 40000
Canal: #support
Pseudonyme: [XP]|%random characters string%
Mot de passe: server



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antémémoire:
    • Vitesse du CPU
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Information sur des processus courants
    • Taille de mémoire
    • Nom d'utilisateur


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS TCP
    • Lance des attaques DDoS UDP
    • Désactiver DCOM
    • Désactiver les partages réseau
    • se déconnecter du serveur IRC
    • Télécharger un fichier
    • Éditer le registre
    • Activer les partages réseau
    • Exécuter un fichier
    • Joindre le canal IRC
    • Quitter la canal IRC
    • Ouvrir une ligne de commande à distance
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Redémarrer le système
    • Envoyer des e-mails
    • Démarrer une routine de propagation
    • Terminer un processus
    • Se mettre à jour tout seul

 Porte dérobée Les ports suivants sont ouverts:

%SYSDIR%\google.exe sur le port TCP 25000 afin de fournir un serveur FTP
%SYSDIR%\google.exe sur le port UDP 89 afin de fournir un serveur TFTP.

 Informations divers Mutex:
Il crée le Mutex suivant:
   • afffff

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec les logiciels de compression des exécutables suivants:
   • UPack;
   • ASPack;
   • PE_Patch.Upolyx;
   • UPX

Description insérée par Irina Boldea le mercredi 7 septembre 2005
Description mise à jour par Irina Boldea le jeudi 8 septembre 2005

Retour . . . .