Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Rbot.153600.2
La date de la dcouverte:15/09/2006
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:153.600 Octets
Somme de contrle MD5:1497c8f1e52e2d4f22ac7ed9aac1ffbe
Version VDF:6.32.0.11

 Gnral Mthodes de propagation:
   • Le rseau local
   • Mapped network drives


Les alias:
   •  Symantec: W32.Spybot.Worm
   •  Kaspersky: Backdoor.Win32.SdBot.afg
   •  TrendMicro: WORM_SDBOT.BYO
   •  Sophos: W32/Rbot-ANQ
   •  VirusBuster: Worm.SdBot.BGU
   •  Eset: Win32/Rbot
   •  Bitdefender: Backdoor.SdBot.AFG


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il diminue les rglages de scurit
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il vole de l'information
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\ms-dos.pif



Il supprime sa propre copie, excute initialement

 Registre Les cls de registre suivantes sont ajoutes afin d'excuter des processus aprs le redmarrage:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "MS-DOS Security Service"="ms-dos.pif"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "MS-DOS Security Service"="ms-dos.pif"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "MS-DOS Security Service"="ms-dos.pif"



Les cls de registre suivantes sont ajoute:

HKLM\SOFTWARE\Microsoft\Ole
   • "MS-DOS Security Service"="ms-dos.pif"

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   • "MS-DOS Security Service"="ms-dos.pif"

HKCU\SYSTEM\CurrentControlSet\Control\Lsa
   • "MS-DOS Security Service"="ms-dos.pif"

HKLM\SOFTWARE\Microsoft\Ole
   • "MS-DOS Security Service"="ms-dos.pif"

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.

Il s'autocopie dans les partages rseau suivants:
   • IPC$
   • C$
   • ADMIN$\system32\
   • ADMIN$


La vulnrabilit:
Il se sert des vulnrabilits suivantes:
 MS01-059 (Unchecked Buffer in Universal Plug and Play)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)


Le processus d'infection:
Il cre un script FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.


Excution distance:
Il essaye de programmer une excution distance du malware, sur la machine nouvellement infecte. Par consquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le systme et d'accs distance, il se connecte aux serveurs IRC suivants:

Serveur: msdos-s.secu**********
Port: 4654
Le mot de passe du serveur: gringle
Canal: #qzzp#
Pseudonyme: %chane de caractres alatoire de huit digits%
Mot de passe: shabby123

Serveur: msdos-s.secu**********
Port: 4564
Le mot de passe du serveur: gringle
Canal: #qzzp#
Pseudonyme: %chane de caractres alatoire de huit digits%
Mot de passe: shabby123

Serveur: msdos-s.upda**********
Port: 65528
Le mot de passe du serveur: gringle
Canal: #qzzp#
Pseudonyme: %chane de caractres alatoire de huit digits%
Mot de passe: shabby123

Serveur: msdos-s.upda**********
Port: 65529
Le mot de passe du serveur: gringle
Canal: #qzzp#
Pseudonyme: %chane de caractres alatoire de huit digits%
Mot de passe: shabby123



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antmmoire:
    • Vitesse du CPU
     Dtails sur les pilots
    • Espace libre sur le disque dur
    • Mmoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le rseau
    • Information sur des processus courants
    • Taille de mmoire
    • Rpertoire de systme
    • Nom d'utilisateur
    • Information sur le systme d'exploitation Windows


 Ensuite il a la capacit d'oprer des actions tel que:
     Lancer des attaques DDoS ICMP
     Lancer des attaques DDoS SYN
    • Dsactiver DCOM
    • Dsactiver les partages rseau
    • Tlcharger un fichier
    • Activer DCOM
    • Activer les partages rseau
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande distance
    • Oprer un attaque DDoS
     Scanner le rseau
     Dmarrer une routine de propagation
    • Terminer un processus
     Se mettre jour tout seul
    • Charger un fichier

 Informations divers Mutex:
Il cre le Mutex suivant:
   • msdss

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • Obsidium

Description insérée par Irina Boldea le mardi 7 mars 2006
Description mise à jour par Irina Boldea le mardi 14 mars 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.