Nom:Worm/Akbot.22568.B
La date de la découverte:06/10/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:22.568 Octets
Somme de contrôle MD5:67871e358250326e2d5abc669516dfe9
Version VDF:6.36.00.80
Version IVDF:6.36.00.96 - jeudi 12 octobre 2006

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Kaspersky: Backdoor.Win32.Akbot.j
   •  TrendMicro: BKDR_AKBOT.AS
   •  F-Secure: Backdoor.Win32.Akbot.j
   •  Sophos: W32/Akbot-AG


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il bloque l'accès aux sites web de sécurité
   • Il crée un fichier
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\ltssvc.dll



Le fichier suivant est créé:

%TEMPDIR%\uninstall.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ltssvc"="rundll32.exe %SYSDIR%\ltssvc.dll,start"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnérabilité dans Service de Serveur)

 Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées existantes sont écrasées

– L'accès aux liens URL suivants est effectivement bloqué :
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.kaspersky.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; pandasoftware.com; www.pandasoftware.com;
      www.trendmicro.com; www.grisoft.com; www.microsoft.com; microsoft.com;
      update.microsoft.com; www.virustotal.com; virustotal.com;
      www.ahnlab.com; suc.ahnlab.com; auth.ahnlab.com; ahnlab.com




Le fichier hôte modifié ressemblera à ceci:


 Porte dérobée Serveur de contact:
Le suivant:
   • http://net.phatnet.**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
    • Vitesse du CPU
    • Utilisateur courant
    • Mémoire libre
    • L'adresse IP:


Capacités d'accès à distance:
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP

 Informations divers Mutex:
Il crée le Mutex suivant:
   • lite.3

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • Petite

Description insérée par Adriana Popa le mardi 7 novembre 2006
Description mise à jour par Adriana Popa le mardi 7 novembre 2006

Retour . . . .