Nom:Worm/IRCBot.50176
La date de la découverte:19/08/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:50.176 Octets
Somme de contrôle MD5:a0a9e853b4ca1b2b66c39a44e374a25e
Version VDF:6.31.01.146

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Kaspersky: Backdoor.Win32.Rbot.yb
   •  TrendMicro: WORM_RBOT.CKK
   •  Sophos: W32/KBBot-A
   •  Eset: Win32/Rbot
   •  Bitdefender: Backdoor.SDBot.DEA


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\wnsvc.exe



Il supprime sa propre copie, exécutée initialement

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "WN Services"="wnsvc.exe"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS04-007 (ASN.1 Vulnerability)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde le premier octet de son propre adresse. Ensuite il essaye d'établir une connexion avec les adresses créées.


Le processus d'infection:
Il crée un script TFTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: micro.nun**********
Port: 6564
Le mot de passe du serveur: cheezw00p
Canal: #&robots
Pseudonyme: \%chaîne de caractères aléatoire de sept digits%
Mot de passe: koolbotz

Serveur: micro.leet**********
Port: 6564
Le mot de passe du serveur: cheezw00p
Canal: #&scanning
Pseudonyme: \%chaîne de caractères aléatoire de sept digits%
Mot de passe: koolbotz



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Détails sur les pilots
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Information sur des processus courants
    • Taille de mémoire
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS TCP
    • Lance des attaques DDoS UDP
    • Télécharger un fichier
    • Exécuter un fichier
    • Finir le processus
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Démarrer une routine de propagation
    • Terminer le Malware
    • Terminer un processus
    • Se mettre à jour tout seul

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Irina Boldea le jeudi 11 mai 2006
Description mise à jour par Irina Boldea le jeudi 11 mai 2006

Retour . . . .