Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/RBot.54532
La date de la découverte:14/02/2006
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:257.536 Octets
Somme de contrôle MD5:ea400Fe8fe2364503bfe7175ba2390d7
Version VDF:6.33.00.227

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: W32.Spybot.Worm
   •  Mcafee: W32/Kelvir.worm.gen
   •  Kaspersky: Backdoor.Win32.Aimbot.by
   •  TrendMicro: WORM_SDBOT.DEO
   •  F-Secure: Backdoor.Win32.Aimbot.by
   •  Sophos: W32/Tilebot-DB
   •  Panda: W32/Sdbot.GFH.worm
   •  VirusBuster: Worm.SmallBot.F
   •  Bitdefender: Backdoor.SDBot.AKZ


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\termsvrs.exe



Il supprime sa propre copie, exécutée initialement



Le fichier suivant est créé:

%SYSDIR%\rofl.sys Employé pour cacher un processus.

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\P-SYS Service
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\termsvrs.exe"
   • "DisplayName"="P-SYS"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valeurs hexa%
   • "Description"="P-SYS Service"



Les clés de registre suivantes sont ajoutée:

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   • "DoNotAllowXPSP2"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "IT"="%la date courante%"
   • "RU"= %caractères-double-octet%



Les clés de registre suivantes sont changées:

– HKLM\SOFTWARE\Microsoft\Security Center
   L'ancienne valeur:
   • "AntiVirusDisableNotify"=%réglages définis par l'utilisateur%
   • "FirewallDisableNotify"=%réglages définis par l'utilisateur%
   • "UpdatesDisableNotify"=%réglages définis par l'utilisateur%
   • "AntiVirusOverride"=%réglages définis par l'utilisateur%
   • "FirewallOverride"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

Désactive le Pare-feu du Windows:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   L'ancienne valeur:
   • "EnableFirewall"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableFirewall"=dword:00000000

Désactive le Pare-feu du Windows:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
   L'ancienne valeur:
   • "EnableFirewall"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableFirewall"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   L'ancienne valeur:
   • "AUOptions"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AUOptions"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   L'ancienne valeur:
   • "restrictanonymous"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   L'ancienne valeur:
   • "AutoShareWks"=%réglages définis par l'utilisateur%
   • "AutoShareServer"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
   L'ancienne valeur:
   • "AutoShareWks"=%réglages définis par l'utilisateur%
   • "AutoShareServer"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Ole
   L'ancienne valeur:
   • "EnableDCOM"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableDCOM"="N"

– HKLM\SYSTEM\CurrentControlSet\Control
   L'ancienne valeur:
   • "WaitToKillServiceTimeout"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "WaitToKillServiceTimeout"="7000"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • IPC$
   • D$\windows\system32
   • C$\windows\system32
   • C$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

–Les noms d'utilisateurs et les mots de passe en antémémoire.

– Une liste de noms d'utilisateurs et de mots de passe:
   • server; asdfgh; asdf; !@; $%^&; !@; $%^; !@; $%; !@; $; 654321;
      123456; 12345; 1234; 123; 111; administrator



La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.


Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: x.exceed**********
Port: 6522
Le mot de passe du serveur: reptys
Canal: #reptiles#
Pseudonyme: [P00|USA|%chaîne de caractères aléatoire de cinq digits%]
Mot de passe: etsdg



– Ce Malware a l'habilité de ramasser et d'envoyer l'information suivante:
    • Les mots de passe en antémémoire:
    • Les adresses email recueillies
    • Vitesse du CPU
    • Utilisateur courant
    • Détails sur les pilots
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • L'ID de la plateforme
    • Information sur des processus courants
    • Taille de mémoire
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • Désactiver les partages réseau
    • Télécharger un fichier
    • Éditer le registre
    • Activer les partages réseau
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande à distance
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Opérer la redirection d'un certain port
    • Enregistrer un service
    • Redémarrer le système
    • Démarrer une routine de propagation
    • Terminer le Malware
    • Terminer un processus
    • Se mettre à jour tout seul
    • Charger un fichier
    • Visiter un site web

 Arrêt de processus:  La liste des services qui sont désactivés:
   • Security Center
   • Windows Firewall/ICS
   • Telnet
   • Remote Registry
   • Messenger

 Porte dérobée Serveur de contact:
Tous les suivants:
   • http://hpcgi1.nifty.com/mute/c/**********
   • http://www.age.ne.jp/x/maxwell/cgi-bin/**********
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/**********
   • http://cgi14.plala.or.jp/little_w/**********
   • http://yia.s22.xrea.com/**********
   • http://www.kinchan.net/cgi-bin/**********


 La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.


Il cache les suivants:
– Son propre fichier
– Son propre processus

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Irina Boldea le mardi 18 avril 2006
Description mise à jour par Irina Boldea le jeudi 20 avril 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.