Nom:Worm/IRCBot.9609
Numéro CME:482
La date de la découverte:13/08/2006
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:9.609 Octets
Somme de contrôle MD5:9928A1E6601CF00D0B7826D13FB556F0
Version VDF:6.35.01.85 - dimanche 13 août 2006
Version IVDF:6.35.01.85 - dimanche 13 août 2006

 Général Méthodes de propagation:
   • Le réseau local
   • Programme de messagerie


Les alias:
   •  Symantec: Backdoor.IRC.Bot
   •  Mcafee: IRC-Mocbot!MS06-040
   •  Kaspersky: Backdoor.Win32.IRCBot.st
   •  TrendMicro: WORM_IRCBOT.JK
   •  F-Secure: Backdoor.Win32.IRCBot.st


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\wgareg.exe



Il supprime sa propre copie, exécutée initialement

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\wgareg]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %SYSDIR%\wgareg.exe
   • DisplayName = Windows Genuine Advantage Registration Service
   • ObjectName = LocalSystem
   • FailureActions = %valeurs hexa%
   • Description = Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.

– [HKLM\SYSTEM\CurrentControlSet\Services\wgareg\Security]
   • Security = %valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\wgareg\Enum]
   • 0 = Root\LEGACY_WGAREG\0000
   • Count = 1
   • NextInstance = 1



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Ole]
   L'ancienne valeur:
   • EnableDCOM = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • EnableDCOM = n

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   L'ancienne valeur:
   • restrictanonymous = %réglages définis par l'utilisateur%
   • restrictanonymoussam = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • restrictanonymous = 1
   • restrictanonymoussam = 1

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   La nouvelle valeur:
   • autoshareserver = 0
   • autosharewks = 0

– [HKLM\SOFTWARE\Microsoft\security center]
   L'ancienne valeur:
   • antivirusdisablenotify = %réglages définis par l'utilisateur%
   • antivirusoverride = %réglages définis par l'utilisateur%
   • firewalldisablenotify = %réglages définis par l'utilisateur%
   • firewalldisableoverride = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • antivirusdisablenotify = 1
   • antivirusoverride = 1
   • firewalldisablenotify = 1
   • firewalldisableoverride = 1

Désactive le Pare-feu du Windows:
– [HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\domainprofile]
   L'ancienne valeur:
   • enablefirewall = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • enablefirewall = 0

– [HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\standardprofile]
   L'ancienne valeur:
   • enablefirewall = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • enablefirewall = 0

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   L'ancienne valeur:
   • Start = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • Start = 4

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– AIM Messenger

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS06-040 (Vulnérabilité dans Service de Serveur)

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: bniu.house**********
Port: 18067
Canal: #n1
Pseudonyme: n1-%chaîne de caractères aléatoire%
Mot de passe: nert4mp1

Serveur: ypgw.wall**********
Port: 18067
Canal: #n1
Pseudonyme: n1-%chaîne de caractères aléatoire%
Mot de passe: nert4mp1


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • Télécharger un fichier
    • Exécuter un fichier
    • Démarrer une routine de propagation

 Informations divers Mutex:
Il crée le Mutex suivant:
   • wgareg

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Philipp Wolf le dimanche 13 août 2006
Description mise à jour par Andrei Gherman le lundi 14 août 2006

Retour . . . .