Nom:Worm/Gobot.S
La date de la découverte:22/11/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:~41.200 Octets
Version VDF:6.26.00.56

 Général Méthodes de propagation:
   • Le réseau local
   • Peer to Peer


Les alias:
   •  Kaspersky: Backdoor.Win32.Gobot.s
   •  TrendMicro: WORM_GOBOT.S
   •  F-Secure: W32/Agobot.AVU
   •  Sophos: W32/Gobot-C
   •  Bitdefender: Backdoor.Gabot.A


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\%chaîne de caractères aléatoire%.exe



Le fichier suivant est créé:

%WINDIR%\setup.txt Ce fichier contient des frappes de touche collectés.

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • AVPCC = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NPROTECT = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • SMC = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NETUTILS = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NTXCONFIG = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • LDNETMON = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • CONNECTIONMONITOR = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NVSVC32 = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • AVSYNMGR = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • ERICS = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NAVENGNAVEX15 = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NAV AUTO-PROTECT = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • CPDCLNT = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • MPFSERVICE = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • MPFTRAY = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • PORTMONITOR = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • CPDCLNT = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • VSHWIN32 = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • VSECOMR = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • WEBSCANX = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • TCMON = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • ALOGSERV = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • CMGRDIAN = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • RULAUNCH = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • DVP95 = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • PROCESSMONITOR = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • FRW = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NAVAP = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NAVAPW32 = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • DEFWATCH = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • GENERICS = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NAVAPSVC = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NTVDM = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NAVWNT = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NAVLU32 = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • LUALL = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • SWNETSUP = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • ICLOAD95 = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • TDS-3 = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • ICMON = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • ICSUPP95 = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • IFACE = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • ADVXDWIN = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • PADMIN = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • RAV7WIN = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • WATCHDOG = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • MINILOG = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • P-WIN = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NDD32 = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • FNRB32 = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NMAIN = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • IAMSERV = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NPSCHECK = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • AGENTW = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • PERSFW = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • PERSWF = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • LOCKDOWN = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • SPYXX = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • WEBTRAP = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • ATCON = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NPROTECT = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • WGFE95 = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • ZONEALARM = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • VSMON = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • AVKSERV = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • MPFAGENT = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • MPFSERVICE = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • MPFTRAY = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • PORTMONITOR = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • VSHWIN32 = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • WEBSCANX = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • VSSTAT = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • PCCWIN98 = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • ATUPDATE = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • AVCONSOL = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NSCHED32 = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • KAVDOS32 = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • ESPWATCH = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NEOWATCHLOG = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • AUTOTRACE = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • AUTODOWN = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • VETTRAY = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • SAFEWEB = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • VSCAN40 = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • CFIADMIN = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • LUCOMSERVE = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • RVE = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • TFAK = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • VBCMSERV = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NWTOOL16 = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • AVP32 = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • ANTI-TROJAN = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NWSERVICE = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • CTRL = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • NAVNT = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • AVXMONITORNT = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • AVPDOS32 = %WINDIR%\%chaîne de caractères aléatoire%.exe
   • AVPTC32 = %WINDIR%\%chaîne de caractères aléatoire%.exe

 P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:  


   Il recherche les dossiers partagés en questionnant les clés de registre suivantes :
   • HKCU\Software\Kazaa\localcontent
   • HKCU\Software\Limewire
   • HKCU\Software\Shareaza
   • HKCU\Software\Morpheus
   • HKCU\Software\Xolox
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\edonkey2000

   En cas de succès, les fichiers suivants sont créés:
   • AIM_Account_Stealer_Crack.exe; AIM_Account_Stealer_Crack.exe;
      AIM_Account_Stealer_Full.exe; AIM_Account_Stealer_Full.exe;
      AIM_Account_Stealer_ISO_Full.exe;
      AIM_Account_Stealer_Key_Generator.exe; AIM_Account_Stealer_Patch.exe;
      AIM_Account_Stealer_Patch.exe; Cat_Attacks_Child_Crack.exe;
      Cat_Attacks_Child_Full.exe; Cat_Attacks_Child_ISO_Full.exe;
      Cat_Attacks_Child_ISO_Full.exe; Cat_Attacks_Child_Key_Generator.exe;
      Cat_Attacks_Child_Key_Generator.exe; Cat_Attacks_Child_Patch.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Crack.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Full.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_ISO_Full.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Key_Generator.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe;
      CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe;
      DSL_Modem_Uncapper_Crack.exe; DSL_Modem_Uncapper_Crack.exe;
      DSL_Modem_Uncapper_Full.exe; DSL_Modem_Uncapper_Full.exe;
      DSL_Modem_Uncapper_ISO_Full.exe; DSL_Modem_Uncapper_ISO_Full.exe;
      DSL_Modem_Uncapper_Key_Generator.exe; DSL_Modem_Uncapper_Patch.exe;
      Hacking_Tool_Collection_Crack.exe; Hacking_Tool_Collection_Crack.exe;
      Hacking_Tool_Collection_Full.exe;
      Hacking_Tool_Collection_ISO_Full.exe;
      Hacking_Tool_Collection_Key_Generator.exe;
      Hacking_Tool_Collection_Patch.exe; Hacking_Tool_Collection_Patch.exe;
      Internet_and_Computer_Speed_Booster_Crack.exe;
      Internet_and_Computer_Speed_Booster_Crack.exe;
      Internet_and_Computer_Speed_Booster_Full.exe;
      Internet_and_Computer_Speed_Booster_ISO_Full.exe;
      Internet_and_Computer_Speed_Booster_Key_Generator.exe;
      Internet_and_Computer_Speed_Booster_Patch.exe;
      Macromedia_Flash_5.0_Crack.exe; Macromedia_Flash_5.0_Full.exe;
      Macromedia_Flash_5.0_ISO_Full.exe; Macromedia_Flash_5.0_ISO_Full.exe;
      Macromedia_Flash_5.0_Key_Generator.exe;
      Macromedia_Flash_5.0_Key_Generator.exe;
      Macromedia_Flash_5.0_Patch.exe;
      MSN_Password_Hacker_and_Stealer_Crack.exe;
      MSN_Password_Hacker_and_Stealer_Full.exe;
      MSN_Password_Hacker_and_Stealer_Full.exe;
      MSN_Password_Hacker_and_Stealer_ISO_Full.exe;
      MSN_Password_Hacker_and_Stealer_Key_Generator.exe;
      MSN_Password_Hacker_and_Stealer_Patch.exe; Windows_XP_Crack.exe;
      Windows_XP_Crack.exe; Windows_XP_Full.exe; Windows_XP_Full.exe;
      Windows_XP_ISO_Full.exe; Windows_XP_Key_Generator.exe;
      Windows_XP_Key_Generator.exe; Windows_XP_Patch.exe;
      ZoneAlarm_Firewall_Crack.exe; ZoneAlarm_Firewall_Full.exe;
      ZoneAlarm_Firewall_ISO_Full.exe; ZoneAlarm_Firewall_Patch.exe;
      ZoneAlarm_Firewall_Patch.exe

   Ces fichiers sont copies du Malware.

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– La porte dérobée Mydoom (port 3127)

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: 217.160.**********.243
Port: 6659
Canal: #GhostBot
Pseudonyme: %le nom d'utilisateur courant%%plusieurs chiffres aléatoires%
Mot de passe: x-bot6659



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mémoire libre
    • Information sur le réseau
    • Taille de mémoire
    • Nom d'utilisateur


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS SYN
    • Télécharger un fichier
    • Exécuter un fichier
    • Finir le processus
    • Terminer un processus

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Gherman le mercredi 23 novembre 2005
Description mise à jour par Andrei Gherman le jeudi 24 novembre 2005

Retour . . . .