Nom:Worm/IRCBot.GT
La date de la découverte:20/09/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:174.080 Octets
Somme de contrôle MD5:0AC7EE395802E4B3D25D6755E7F2C9D2
Version VDF:6.32.0.17

 Général Méthode de propagation:
   • Le réseau local


L'alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.gt


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\sys32.pif



Il supprime sa propre copie, exécutée initialement

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows System Security"="sys32.pif"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows System Security"="sys32.pif"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows System Security"="sys32.pif"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows System Security"="sys32.pif"



Les clés de registre suivantes sont ajoutée:

– [HKLM\SOFTWARE\Microsoft\Ole]
   • "Windows System Security"="sys32.pif"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "Windows System Security"="sys32.pif"

– [HKCU\Software\Microsoft\OLE]
   • "Windows System Security"="sys32.pif"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "Windows System Security"="sys32.pif"

– [HKCR\.key]
   • @="regfile"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • D:\
   • C:\
   • ADMIN$
   • IPC$


La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde le premier octet de son propre adresse. Ensuite il essaye d'établir une connexion avec les adresses créées.


Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.


Ralentissement de connexion:
–Il crée de multiples fils d'infection.
– Selon la largeur de votre bande passante, il est possible d'avoir une légère baisse de votre vitesse de réseau. Car comme l'activité réseau de ce malware est basse, il est possible qu'il ne soit pas détecter du tout.
– Dû aux multiples fils d'exécution créés en réseau, un ordinateur infecté devient une machine lente et inutilisable.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: win32.**********.updates32.biz
Port: 65528
Le mot de passe du serveur: gringle
Canal: #wtfz#
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: shabby123

Serveur: win32.**********.security32.biz
Port: 4654
Le mot de passe du serveur: gringle
Canal: #wtfz#
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: shabby123

Serveur: win32.**********.security32.biz
Port: 4564
Le mot de passe du serveur: gringle
Canal: #wtfz#
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: shabby123

Serveur: win32.**********.updates32.biz
Port: 65529
Le mot de passe du serveur: gringle
Canal: #wtfz#
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: shabby123



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Information sur des processus courants
    • Taille de mémoire
    • Répertoire de système
    • Nom d'utilisateur
    • Répertoire de Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS TCP
    • Lance des attaques DDoS UDP
    • Désactiver DCOM
    • Désactiver les partages réseau
    • Télécharger un fichier
    • Éditer le registre
    • Activer DCOM
    • Activer les partages réseau
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande à distance
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Commence le keylog
    • Terminer un processus
    • Se mettre à jour tout seul
    • Charger un fichier

 Informations divers Mutex:
Il crée le Mutex suivant:
   • sizxlss

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • ASProtect 1.2x

Description insérée par Andrei Gherman le mardi 20 septembre 2005
Description mise à jour par Andrei Gherman le jeudi 22 septembre 2005

Retour . . . .