Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/RBot.224861
La date de la découverte:23/06/2006
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:224.861 Octets
Somme de contrôle MD5:2991ef9b80cacb49e02fa170b773dcce
Version VDF:6.31.00.102

 Général Méthode de propagation:
   • Email
   • Le réseau local


Les alias:
   •  Symantec: W32.Spybot.Worm
   •  Kaspersky: Backdoor.Win32.Rbot.td
   •  TrendMicro: WORM_RBOT.BWU
   •  Sophos: W32/Rbot-BAA
   •  Grisoft: IRC/BackDoor.SdBot.DTI
   •  VirusBuster: Worm.Rbot.BUE
   •  Eset: Win32/Rbot
   •  Bitdefender: Backdoor.Rbot.TD


La plateforme / le système d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\msreged32.exe



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

%SYSDIR%\SVKP.sys
%SYSDIR%\msdirectx.sys Employé pour cacher un processus. Détecté comme: TR/Spy.Agent.dg.2.B

 Registre Les clés de registre suivantes sont changées:

– HKLM\SYSTEM\ControlSet001\Control\Lsa
   L'ancienne valeur:
   • "restrictanonymoussam"=%réglages définis par l'utilisateur%
   • "restrictanonymous"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymoussam"=dword:00000001
   • "restrictanonymous"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   La nouvelle valeur:
   • "Shell"="Explorer.exe msreged32.exe"

– HKLM\SOFTWARE\Microsoft\Ole
   L'ancienne valeur:
   • "EnableDCOM"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableDCOM"="N"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • ADMIN$
   • C$
   • D$
   • IPC$


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– Une liste de noms d'utilisateurs et de mots de passe:
   • 007; 12; 123; 1234; 2000; 2001; 2002; 2003; 2004; 12345; 123456;
      1234567; 12345678; 123456789; 1234567890; access; accounting;
      accounts; adm; admin; administrador; administrat; administrateur;
      administrator; admins; asd; backup; bill; bitch; blank; bob; brian;
      changeme; chris; cisco; compaq; computer; control; data; database;
      databasepass; databasepassword; db1; db1234; db2; dba; dbpass;
      dbpassword; default; dell; demo; domain; domainpass; domainpassword;
      eric; exchange; fred; fuck; george; god; guest; hell; hello; home;
      homeuser; hp; ian; ibm; internet; intranet; jen; joe; john; kate;
      katie; lan; lee; linux; login; loginpass; luke; mail; main; mary;
      mike; neil; nokia; none; null; oem; oeminstall; oemuser; office;
      oracle; orainstall; outlook; owner; pass; pass1234; passwd; password;
      password1; peter; pwd; qaz; qwe; qwerty; root; sa; sam; server; sex;
      siemens; slut; sql; sqlpassoainstall; staff; student; sue; susan;
      system; teacher; technical; test; unix; user; web; win2000; win2k;
      win98; windows; winnt; winpass; winxp; www; wwwadmin; xp; zxc



La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.


Le processus d'infection:
Crée un script TFTP ou FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: asnp**********
Port: 30108
Canal: #asnpwn
Pseudonyme: [asnpwn] %chaîne de caractères aléatoire de sept digits%



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antémémoire:
    • Vitesse du CPU
    • Utilisateur courant
    • Détails sur les pilots
    • Espace libre sur le disque dur
    • Mémoire libre
    • Information sur le réseau
    • Information sur des processus courants
    • Taille de mémoire
    • Répertoire de système
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS TCP
    • Lance des attaques DDoS UDP
    • Désactiver DCOM
    • Désactiver les partages réseau
    • Télécharger un fichier
    • Éditer le registre
    • Activer DCOM
    • Activer les partages réseau
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande à distance
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Opérer la redirection d'un certain port
    • Enregistrer un service
    • Redémarrer le système
    • Envoyer des e-mails
    • Démarrer une routine de propagation
    • Terminer un processus
    • Se mettre à jour tout seul
    • Visiter un site web

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Irina Boldea le lundi 25 septembre 2006
Description mise à jour par Irina Boldea le mercredi 11 octobre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.