Nom:Worm/Rbot.47452
La date de la découverte:10/08/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:47.452 Octets
Somme de contrôle MD5:dace5e57b29aa6a11ae7cc077296f2f6
Version VDF:6.35.01.73 - jeudi 10 août 2006
Version IVDF:6.35.01.73 - jeudi 10 août 2006

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Kaspersky: Backdoor.Win32.SdBot.aua
   •  TrendMicro: WORM_POEBOT.CE
   •  Sophos: W32/Poebot-HV
   •  Bitdefender: Backdoor.RBot.HES


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\%Fichier de programme réalisable des services de système%



Il supprime sa propre copie, exécutée initialement

%le dossier d'exécution du malware%\%chaîne de caractères aléatoire%.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "%Nom du service de système%"="%Fichier de programme réalisable des services de système%"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • IPC$
   • C$\Documents and Settings\All Users\Documents\
   • C$\shared
   • C$\windows\system32
   • C$\windows
   • e$\shared
   • d$\shared
   • c$\winnt
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$
   • print$


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– La liste suivante de noms d'utilisateurs:
   • "staff"; "teacher"; "owner"; "student"; "intranet"; "lan"; "main";
      "office"; "control"; "siemens"; "compaq"; "dell"; "cisco"; "ibm";
      "oracle"; "sql"; "data"; "access"; "database"; "domain"; "god";
      "backup"; "technical"; "mary"; "katie"; "kate"; "george"; "eric";
      "none"; "guest"; "chris"; "ian"; "neil"; "lee"; "brian"; "susan";
      "sue"; "sam"; "luke"; "peter"; "john"; "mike"; "bill"; "fred"; "joe";
      "jen"; "bob"; "wwwadmin"; "oemuser"; "user"; "homeuser"; "home";
      "internet"; "www"; "web"; "root"; "server"; "linux"; "unix";
      "computer"; "adm"; "admin"; "admins"; "administrat"; "administrateur";
      "administrador"; "administrator"

– La liste suivante de mots de passe:
   • "winpass"; "blank"; "nokia"; "orainstall"; "sqlpassoainstall";
      "db1234"; "db2"; "db1"; "databasepassword"; "databasepass";
      "dbpassword"; "dbpass"; "domainpassword"; "domainpass"; "hello";
      "hell"; "love"; "money"; "slut"; "bitch"; "fuck"; "exchange";
      "loginpass"; "login"; "qwe"; "zxc"; "asd"; "qaz"; "win2000"; "winnt";
      "winxp"; "win2k"; "win98"; "windows"; "oeminstall"; "oem";
      "accounting"; "accounts"; "letmein"; "sex"; "outlook"; "mail";
      "qwerty"; "temp123"; "temp"; "null"; "default"; "changeme"; "demo";
      "test"; "2005"; "2004"; "2001"; "secret"; "payday"; "deadline";
      "work"; "1234567890"; "123456789"; "12345678"; "1234567"; "123456";
      "12345"; "1234"; "123"; "007"; "pwd"; "pass"; "pass1234"; "dba";
      "passwd"; "password"; "password1"; "abc



La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Le processus d'infection:
Crée un script TFTP ou FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: mine.ISDON4.**********
Port: 1863
Canal: ##soundblaster
Pseudonyme: i-%chaîne de caractères aléatoire de sept digits%



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Détails sur les pilots
    • Espace libre sur le disque dur
    • Mémoire libre
    • Information sur le réseau
    • Taille de mémoire
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS SYN
    • Scanner le réseau

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'

– Les mots de passe des programmes suivants:
   • FlashFXP
   • MSN

– Une routine de journalisation est commencé après que la chaîne de caractères suivante soit tapée:
   • paypal

– Une routine de journalisation est commencé après qu'un site web soit visité.
   • paypal.com

 Informations divers Mutex:


Il crée le Mutex suivant:
   • c2301097005ee0617399022b8f519763a06d

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Marius T. Nicolae le lundi 14 août 2006
Description mise à jour par Marius T. Nicolae le jeudi 24 août 2006

Retour . . . .