Nume:Worm/Agobot.LY
Descoperit pe data de:17/06/2004
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:256.512 Bytes
MD5:58bba52d4d709402f80F9fa523e667d6
Versiune VDF:6.25.00.100

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Eset: Win32/Agobot


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Blocheaza accesul la website-uri ale firmelor de securitate
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\svrhost.exe



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "microsoft update process"="svrhost.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "microsoft update process"="svrhost.exe"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • IPC$
   • IPC$
   • C$
   • D$
   • E$
   • ADMIN$
   • ADMIN$
   • print$
Foloseste urmatoarele vulnerabilitati:
– MS01-059 (Unchecked Buffer in Universal Plug and Play)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS05-039 (Vulnerability in Plug and Play)


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: firm.no-ip.org
Port: 6667
Canal: #deltawarez
Nick: %combinatie de caractere aleatoare%
Parola: mznxbcv



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
    • Informatii despre drivere
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • Cantitatea de memorie
    • Utilizator
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS TCP
    • Lanseaza atacuri DDoS UDP
    • deconectare server IRC
    • descarcare fisier
    • executarea unui fisier
    • intrare pe canal IRC
    • terminare proces
    • parasire canal IRC
    • Scaneaza reteaua
    • redirectionare porturi
    • Se actualizeaza singur
    • Vizitarea unui website

 Fisiere host Fisierul

– In acest caz inregistrarile existente raman nemodificate.

– Accesul la urmatoarele domenii este blocat:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.trendmicro.com




Fisierul hosts modificat va arata astfel:


 Backdoor Deschide porturile:

– %SYSDIR%\svrhost.exe pe portul TCP 5840 pentru a oferi functionalitate de backdoor.
– %SYSDIR%\svrhost.exe pe portul TCP 10422 pentru a oferi functionalitate de backdoor.

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– Urmatoarele CD-keys:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White;
      Command & Conquer Generals; Command and Conquer: Generals (Zero Hour);
      Command and Conquer: Red Alert 2; Command and Conquer: Tiberian Sun;
      Counter-Strike (Retail); FIFA 2002; FIFA 2003; Freedom Force; Global
      Operations; Gunman Chronicles; Half-Life; Hidden & Dangerous 2; IGI 2:
      Covert Strike; Industry Giant 2; James Bond 007: Nightfire; Medal of
      Honor: Allied Assault; Medal of Honor: Allied Assault: Breakthrough;
      Medal of Honor: Allied Assault: Spearhead; Nascar Racing 2002; Nascar
      Racing 2003; Need For Speed: Underground; Neverwinter Nights; NHL
      2003; NHL 2002; Rainbow Six III RavenShield; Shogun: Total War:
      Warlord Edition; Soldier of Fortune II - Double Helix; Soldiers Of
      Anarchy; The Gladiators; Unreal Tournament 2003; Unreal Tournament
      2004

– Parolele din urmatoarele programe:
   • Emails Addresses stored in WAB(Windows Address Book)
   • AOL Messenger passwords
   • Windows Messenger passwords

– Monitorizeaza reteaua folosind un sniffer si cauta urmatoarele siruri de caractere:
   • :.login
   • :!login
   • :.hashin
   • :!hashin
   • :.secure
   • :!secure
   • :!ident
   • :.ident

– O rutina de logare este pornita dupa ce un site este vizitat:
   • paypal.com

– Face captura la:
    • Informatii de logare

 Alte informatii Metode anti-debugging
Verifica daca ruleaza urmatorul program:
   • SoftICE


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description insérée par Teodor Onisor le vendredi 3 novembre 2006
Description mise à jour par Teodor Onisor le vendredi 3 novembre 2006

Retour . . . .