Nume:Worm/IRCBot.9374
Numar CME: 762
Descoperit pe data de:13/08/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:9.374 Bytes
MD5:2BF2A4F0BDAC42F4D6F8A062A7206797
Versiune VDF:6.35.01.85 - dimanche 13 août 2006
Versiune IVDF:6.35.01.85 - dimanche 13 août 2006

 General Metoda de raspandire:
   • Reteaua locala
   • Messenger


Alias:
   •  Symantec: Backdoor.IRC.Bot
   •  Mcafee: IRC-Mocbot!MS06-040
   •  Kaspersky: Backdoor.Win32.IRCBot.st
   •  TrendMicro: WORM_IRCBOT.JK
   •  F-Secure: Backdoor.Win32.IRCBot.st
   •  Bitdefender: Backdoor.IRCBot.ST


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Reduce setarile de securitate
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\wgavm.exe



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\wgavm]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %SYSDIR%\wgavm.exe
   • DisplayName = Windows Genuine Advantage Validation Monitor
   • ObjectName = LocalSystem
   • FailureActions = %valori hex%
   • Description = Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.

– [HKLM\SYSTEM\CurrentControlSet\Services\wgavm\Security]
   • Security = %valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\wgavm\Enum]
   • 0 = Root\LEGACY_WGAVM\0000
   • Count = 1
   • NextInstance = 1



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Vechea valoare:
   • EnableDCOM = %setarile utilizatorului%
   Noua valoare:
   • EnableDCOM = n

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Vechea valoare:
   • restrictanonymous = %setarile utilizatorului%
   • restrictanonymoussam = %setarile utilizatorului%
   Noua valoare:
   • restrictanonymous = 1
   • restrictanonymoussam = 1

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   Noua valoare:
   • autoshareserver = 0
   • autosharewks = 0

– [HKLM\SOFTWARE\Microsoft\security center]
   Vechea valoare:
   • antivirusdisablenotify = %setarile utilizatorului%
   • antivirusoverride = %setarile utilizatorului%
   • firewalldisablenotify = %setarile utilizatorului%
   • firewalldisableoverride = %setarile utilizatorului%
   Noua valoare:
   • antivirusdisablenotify = 1
   • antivirusoverride = 1
   • firewalldisablenotify = 1
   • firewalldisableoverride = 1

Dezactiveaza Windows Firewall:
– [HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\domainprofile]
   Vechea valoare:
   • enablefirewall = %setarile utilizatorului%
   Noua valoare:
   • enablefirewall = 0

– [HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\standardprofile]
   Vechea valoare:
   • enablefirewall = %setarile utilizatorului%
   Noua valoare:
   • enablefirewall = 0

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Vechea valoare:
   • Start = %setarile utilizatorului%
   Noua valoare:
   • Start = 4

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– AIM Messenger

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS06-040 (Vulnerability in Server Service)

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: bniu.house**********
Port: 18067
Canal: #n0
Nick: n0-%combinatie de caractere aleatoare%

Server: ypgw.wall**********
Port: 18067
Canal: #n0
Nick: n0-%combinatie de caractere aleatoare%


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS UDP
    • descarcare fisier
    • executarea unui fisier
    • Porneste rutina de raspandire

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • wgavm

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Philipp Wolf le dimanche 13 août 2006
Description mise à jour par Andrei Gherman le lundi 14 août 2006

Retour . . . .