Nume:Worm/Rbot.78801
Descoperit pe data de:21/11/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:78.801 Bytes
MD5:ccba19642771eec3c7d67e4c461e335b
Versiune VDF:6.32.00.202

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Sophos: W32/Rbot-Fam
   •  Bitdefender: Backdoor.RBot.C7FA6C12


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\Scvhost.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri, in mod repetat, pentru a asigura pornirea procesului dupa reboot.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "windows Personal Firewall"="Scvhost.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "windows Personal Firewall"="Scvhost.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "windows Personal Firewall"="Scvhost.exe"



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Vechea valoare:
   • "EnableDCOM"=%setarile utilizatorului%
   Noua valoare:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Vechea valoare:
   • "restrictanonymous"=%setarile utilizatorului%
   Noua valoare:
   • "restrictanonymous"=dword:00000001

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • C$\windows\system32
   • c$\winnt\system32
   • IPC$
   • ADMIN$
   • IPC$
   • C$


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

– Lista de utilizatori:
   • intranet; lan; main; winpass; blank; office; control; nokia; siemens;
      compaq; dell; cisco; ibm; orainstall; sqlpassoainstall; sql; db1234;
      db1; databasepassword; data; databasepass; dbpassword; dbpass; access;
      domainpassword; domainpass; domain; hello; hell; god; sex; slut;
      bitch; fuck; exchange; backup; technical; loginpass; login; mary;
      katie; kate; george; eric; chris; ian; neil; lee; brian; susan; sue;
      sam; luke; peter; john; mike; bill; fred; joe; jen; bob; qwe; zxc;
      asd; qaz; win2000; winnt; winxp; win2k; win98; windows; oeminstall;
      oemuser; oem; user; homeuser; home; accounting; accounts; internet;
      www; web; outlook; mail

– Lista de parole:
   • qwerty; null; server; system; changeme; linux; unix; demo; none; test;
      2004; 2003; 2002; 2001; 2000; 1234567890; 123456789; 12345678;
      1234567; 123456; 12345; 1234; 123; 007; pwd; pass; pass1234; passwd;
      password; password1; adm; db2; oracle; dba; database; default; guest;
      wwwadmin; teacher; student; owner; computer; staff; admins;
      administrat; administrateur; administrador; administrator



Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: **********.hacker.la
Port: 8877
Parola serverului: guy
Canal: #LLiFee#
Nick: USA|%sir de 6 caractere aleatoare%
Parola: guy

Server: **********.futurexirc.net
Port: 8877
Parola serverului: guy
Canal: #LLiFee#
Nick: USA|%sir de 6 caractere aleatoare%
Parola: guy



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Captura ecranului
    • Captura imagine de pe webcam
    • Viteza procesorului
    • Utilizatorul curent
    • Spatiu liber pe disc
    • Memorie nealocata
    • Informatii despre procesele sistemului
    • Cantitatea de memorie
    • Utilizator
    • Informatii despre sistemul de operare
    • Lanseaza atacuri DDoS ICMP
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS TCP
    • Lanseaza atacuri DDoS UDP
    • dezactivarea partajarii de resurse in retea
    • descarcare fisier
    • editare registru sistem
    • activarea partajarii de resurse in retea
    • executarea unui fisier
    • intrare pe canal IRC
    • terminare proces
    • parasire canal IRC
    • deschidere consola
    • executare atac DDoS
    • Scaneaza reteaua
    • redirectionare porturi
    • trimitere email-uri
    • Porneste keylog
    • terminare proces malware
    • terminare proces
    • Se actualizeaza singur
    • Face upload la un fisier
    • Vizitarea unui website

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Windows Product ID

– Urmatoarele CD-keys:
   • Neverwinter Nights (Hordes of the Underdark); Neverwinter Nights
      (Shadows of Undrentide); Neverwinter Nights; Soldier of Fortune II -
      Double Helix; Hidden & Dangerous 2; Chrome; NOX; Command and Conquer:
      Red Alert 2; Command and Conquer: Tiberian Sun; Rainbow Six III
      RavenShield; Nascar Racing 2003; Nascar Racing 2002; NHL 2003; NHL
      2002; FIFA 2003; FIFA 2002; Need For Speed Hot Pursuit 2; Need For
      Speed: Underground; Medal of Honor: Allied Assault: Spearhead; Medal
      of Honor: Allied Assault: Breakthrough; Medal of Honor: Allied
      Assault; Global Operations; Command & Conquer Generals; James Bond
      007: Nightfire; Command and Conquer: Generals (Zero Hour); Black and
      White; Battlefield Vietnam; Battlefield 1942 (Secret Weapons of WWII);
      Battlefield 1942 (Road To Rome); Battlefield 1942; Freedom Force; IGI
      2: Covert Strike; Unreal Tournament 2004; Unreal Tournament 2003;
      Soldiers Of Anarchy; Legends of Might and Magic; Industry Giant 2;
      Half-Life; Gunman Chronicles; The Gladiators; Counter-Strike (Retail)

– O rutina de logare este pornita dupa ce se tasteaza unul din urmatorele texte:
   • PASS
   • USER
   • paypal
   • paypal.com

– Face captura la:
    • Informatii legate de fereastra

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • PE Pack 1.0

Description insérée par Razvan Olteanu le mercredi 30 novembre 2005
Description mise à jour par Razvan Olteanu le vendredi 9 décembre 2005

Retour . . . .