Nom:Worm/Akbot.H.7
La date de la découverte:21/09/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:24.644 Octets
Somme de contrôle MD5:ea92efdc4cda122e50758db66595e1dc
Version VDF:6.36.00.42
Version IVDF:6.36.00.52 - vendredi 22 septembre 2006

 Général Méthode de propagation:
   • Le réseau local


L'alias:
   •  Kaspersky: Backdoor.Win32.Akbot.h


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\windirx.dl



Il supprime sa propre copie, exécutée initialement



Le fichier suivant est créé:

%repertoire actuel%\uninstal.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "WinDLL (windirx.dll)"="rundll32.exe %SYSDIR%\windirx.dll,start"

 Infection du réseau La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS04-007 (ASN.1 Vulnerability)

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: s1.contentzone.**********
Port: 7755
Le mot de passe du serveur: b00ndocks
Canal: #.map
Pseudonyme: %chaîne de caractères aléatoire%
Mot de passe: yellow



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Mémoire libre
    • Information sur le réseau
    • Information sur des processus courants
    • Taille de mémoire
    • Nom d'utilisateur
    • Répertoire de Windows
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • se déconnecter du serveur IRC
    • Télécharger un fichier
    • Exécuter un fichier
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande à distance
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Envoyer des e-mails
    • Se mettre à jour tout seul
    • Charger un fichier

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Bogdan Iliuta le vendredi 29 septembre 2006

Retour . . . .