Nom:Worm/Rbot.akr
La date de la découverte:15/12/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:191.488 Octets
Somme de contrôle MD5:10edc1205b4fa42235d02ca006855515
Version VDF:6.33.00.31

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: W32.Spybot.Worm
   •  Kaspersky: Backdoor.Win32.Rbot.akr
   •  TrendMicro: WORM_RBOT.DID
   •  F-Secure: Backdoor.Win32.Rbot.akr
   •  Sophos: W32/Rbot-BFM
   •  Panda: Bck/Sdbot.FYA
   •  VirusBuster: Worm.Rbot.DFO
   •  Bitdefender: Backdoor.Rbot.AKR


Effets secondaires:
   • Il diminue les réglages de sécurité
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\msnimsgr.exe



Il supprime sa propre copie, exécutée initialement



Le fichier suivant est créé:

%SYSDIR%\SVKP.sys

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "MSN Messenger"="msnimsgr.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "MSN Messenger"="msnimsgr.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "MSN Messenger"="msnimsgr.exe"



Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\SVKP
   • "Type"=dword:00000001
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\SVKP.sys"
   • "DisplayName"="SVKP"



Les clés de registre suivantes sont changées:

– HKLM\SOFTWARE\Microsoft\Ole
   L'ancienne valeur:
   • "EnableDCOM"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableDCOM"="N"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   L'ancienne valeur:
   • "restrictanonymous"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • IPC$
   • C$
   • ADMIN$


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

–Les noms d'utilisateurs et les mots de passe en antémémoire.

– Une liste de noms d'utilisateurs et de mots de passe:
   • intranet; lan; main; winpass; blank; office; control; nokia; siemens;
      compaq; dell; cisco; ibm; orainstall; sqlpassoainstall; sql; db1234;
      db1; databasepassword; data; databasepass; dbpassword; dbpass; access;
      domainpassword; domainpass; domain; hello; hell; god; sex; slut;
      bitch; fuck; exchange; backup; technical; loginpass; login; mary;
      katie; kate; george; eric; chris; ian; neil; lee; brian; susan; sue;
      sam; luke; peter; john; mike; bill; fred; joe; jen; bob; qwe; zxc;
      asd; qaz; win2000; winnt; winxp; win2k; win98; windows; oeminstall;
      oemuser; oem; user; homeuser; home; accounting; accounts; internet;
      www; web; outlook; mail; qwerty; null; server; system; changeme;
      linux; unix; demo; none; test; 2004; 2003; 2002; 2001; 2000;
      1234567890; 123456789; 12345678; 1234567; 123456; 12345; 1234; 123;
      007; pwd; pass; pass1234; passwd; password; password1; adm; db2;
      oracle; dba; database; default; guest; wwwadmin; teacher; student;
      owner; computer; root; staff; admin; admins; administrat;
      administrateur; administrador; administrator



La vulnérabilité:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-011 (LSASS Vulnerability)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.


Le processus d'infection:
Il crée un script TFTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: xi3.n2.pim.irc-**********
Canal: #xisnet#
Pseudonyme: %chaîne de caractères aléatoire de huit digits%
Mot de passe: xq0



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Détails sur les pilots
    • Espace libre sur le disque dur
    • Mémoire libre
    • Information sur le réseau
    • Information sur des processus courants
    • Taille de mémoire
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS TCP
    • Lance des attaques DDoS UDP
    • Désactiver DCOM
    • Désactiver les partages réseau
    • Télécharger un fichier
    • Activer DCOM
    • Activer les partages réseau
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande à distance
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Opérer la redirection d'un certain port
    • Enregistrer un service
    • Redémarrer le système
    • Envoyer des e-mails
    • Commence le keylog
    • Démarrer une routine de propagation
    • Terminer le Malware
    • Terminer un processus
    • Se mettre à jour tout seul
    • Charger un fichier

 Arrêt de processus: La liste des processus qui sont terminés:
   • i11r54n4.exe; irun4.exe; d3dupdate.exe; rate.exe; ssate.exe;
      winsys.exe; winupd.exe; SysMonXP.exe; bbeagle.exe; Penis32.exe;
      teekids.exe; MSBLAST.exe; mscvb32.exe; sysinfo.exe; PandaAVEngine.exe;
      wincfg32.exe; taskmon.exe; zonealarm.exe; navapw32.exe; navw32.exe;
      zapro.exe; msblast.exe; netstat.exe; msconfig.exe; regedit.exe


 Informations divers Mutex:
Il crée le Mutex suivant:
   • nt

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Irina Boldea le lundi 10 avril 2006
Description mise à jour par Irina Boldea le mardi 11 avril 2006

Retour . . . .