Nom:Worm/Rbot.95744.12
La date de la découverte:09/11/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:95.744 Octets
Somme de contrôle MD5:b8e07b509594509af0d671c79176ff9c
Version VDF:6.32.00.123

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: W32.Spybot.Worm
   •  Sophos: W32/Rbot-AWZ
   •  Bitdefender: Backdoor.RBot.0EA93F88


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\winzbp.exe

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WinZap Check" = "winzbp.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "WinZap Check" = "winzbp.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WinZap Check" = "winzbp.exe"

 Infection du réseau Il se sert des vulnérabilités suivantes:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: irc.thev**********.biz
Port: 14478
Canal: #.lala.#
Pseudonyme: USA|%chaîne de caractères aléatoire de six digits%
Mot de passe: lala



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antémémoire:
    • Capture de web caméra
    • Utilisateur courant
    • Information sur le réseau
    • Information sur des processus courants
    • Nom d'utilisateur
    • L'activité local des utilisateurs
    • Information sur le système d'exploitation Windows
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • Désactiver les partages réseau
    • Télécharger un fichier
    • Éditer le registre
    • Activer les partages réseau
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Opérer la redirection d'un certain port
    • Enregistrer un service
    • Redémarrer le système
    • Envoyer des e-mails
    • Démarrer une routine de propagation
    • Terminer un processus
    • Se mettre à jour tout seul
    • Charger un fichier
    • Visiter un site web

 Arrêt de processus: La liste des processus qui sont terminés:
   • bbeagle.exe; d3dupdate.exe; i11r54n4.exe"; irun4.exe; MSBLAST.exe;
      msblast.exe; msconfig.exe; mscvb32.exe; navapw32.exe; navw32.exe;
      netstat.exe; PandaAVEngine.exe; Penis32.exe; rate.exe; regedit.exe;
      ssate.exe; sysinfo.exe; SysMonXP.exe; teekids.exe;
      wincfg32.exetaskmon.exe; winsys.exe; winupd.exe; zapro.exe;
      zonealarm.exe


 Vol d'informations Il essaie de voler l'information suivante:

– Les clés de CD suivantes:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White;
      Command and Conquer: Generals; Command and Conquer: Generals (Zero
      Hour); Command and Conquer: Red Alert; Command and Conquer: Red Alert
      2; Command and Conquer: Tiberian Sun; Counter-Strike (Retail); FIFA
      2002; FIFA 2003; Half-Life; Hidden & Dangerous 2; IGI 2: Covert
      Strike; Industry Giant 2; James Bond 007: Nightfire; Medal of Honor:
      Allied Assault; Medal of Honor: Allied Assault: Breakthrough; Medal of
      Honor: Allied Assault: Spearhead; Nascar Racing 2002; Nascar Racing
      2003; Need For Speed Hot Pursuit 2; Need For Speed: Underground;
      Neverwinter Nights; Neverwinter Nights (Hordes of the Underdark);
      Neverwinter Nights (Shadows of Undrentide); NHL 2002; NHL 2003;
      Rainbow Six III RavenShield; Shogun: Total War: Warlord Edition;
      Soldier of Fortune II - Double Helix; Soldiers Of Anarchy; The
      Gladiators; Unreal Tournament 2003

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec les logiciels de compression des exécutables suivants:
   • PolyCript
   • ASPack

Description insérée par Iulian Popa le jeudi 10 novembre 2005
Description mise à jour par Andrei Ivanes le jeudi 17 novembre 2005

Retour . . . .