Nom:Worm/Rbot.pac.8
La date de la découverte:21/09/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:138.240 Octets
Somme de contrôle MD5:10e18e783f3c5e84ee0375e783ecf77b
Version VDF:6.32.0.17

 Général Méthodes de propagation:
   • Le réseau local
   • Mapped network drives


Les alias:
   •  Symantec: W32.Spybot.Worm
   •  Mcafee: W32/Sdbot.worm.gen.i
   •  Kaspersky: Backdoor.Win32.Rbot.pac
   •  Bitdefender: Backdoor.Rbot.PAC


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\updates.pif

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "System Updates Service" = "updates.pif"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "System Updates Service" = "updates.pif"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "System Updates Service" = "updates.pif"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "System Updates Service" = "updates.pif"



Les clés de registre suivantes sont ajoutée:

– [HKLM\Software\Microsoft\OLE]
   • "System Updates Service" = "updates.pif"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "System Updates Service" = "updates.pif"

– [HKCU\Software\Microsoft\OLE]
   • "System Updates Service" = "updates.pif"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "System Updates Service" = "updates.pif"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • C:\
   • ADMIN$
   • IPC$


La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.


Le processus d'infection:
Crée un script TFTP ou FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

 IRC  Serveur: **********omfgwtfbbq.biz
Port: 4654
Le mot de passe du serveur: jew1sh
Canal: #.wtf5
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: stfubitch

Serveur: **********omfgwtfbbq.biz
Port: 65529
Le mot de passe du serveur: jew1sh
Canal: #.wtf5
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: stfubitch

Serveur: **********urgentupdate.net
Port: 1427
Le mot de passe du serveur: jew1sh
Canal: #.wtf5
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: stfubitch

Serveur: **********urgentupdate.net
Port: 65528
Le mot de passe du serveur: jew1sh
Canal: #.wtf5
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: stfubitch



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Détails sur les pilots
    • Espace libre sur le disque dur
    • Mémoire libre
    • Information sur le réseau
    • L'ID de la plateforme
    • Taille de mémoire
    • Nom d'utilisateur


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Lancer des attaques DDoS ICMP
    • Désactiver DCOM
    • Désactiver les partages réseau
    • Télécharger un fichier
    • Activer DCOM
    • Activer les partages réseau
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande à distance
    • Scanner le réseau
    • Opérer la redirection d'un certain port
    • Enregistrer un service
    • Redémarrer le système
    • Terminer le Malware
    • Terminer un processus
    • Visiter un site web

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Iulian Popa le mercredi 21 septembre 2005
Description mise à jour par Iulian Popa le mercredi 28 septembre 2005

Retour . . . .