Nom:Worm/Rbot.1332224
La date de la découverte:10/10/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:1.332.224 Octets
Somme de contrôle MD5:7b7c635984e80774205c83c9222cb2dd
Version VDF:6.36.00.87
Version IVDF:6.36.00.103 - vendredi 13 octobre 2006

 Général Méthode de propagation:
   • Le réseau local
   • Mapped network drives


Les alias:
   •  Mcafee: W32/Sdbot.worm.gen.ca
   •  Kaspersky: Backdoor.Win32.SdBot.att
   •  TrendMicro: WORM_SDBOT.AOF
   •  Sophos: W32/Sdbot-CSB
   •  VirusBuster: virus Worm.SdBot.EGF
   •  Bitdefender: Backdoor.Rbot.FHS


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\winit.exe



Il supprime sa propre copie, exécutée initialement

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "Microsoft Updates"="winit.exe"



Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
   • "Microsoft Updates"="winit.exe"



La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\OLE
   • "Microsoft Updates"="winit.exe"



Les clés de registre suivantes sont changées:

– HKLM\SOFTWARE\Microsoft\Ole
   L'ancienne valeur:
   • "EnableDCOM"="Y"
   La nouvelle valeur:
   • "EnableDCOM"="N"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   L'ancienne valeur:
   • "restrictanonymous"=0
   La nouvelle valeur:
   • "restrictanonymous"=1

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • %s\ipc$
   • IPC$
   • %c$
   • %d$
   • c$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32
   • ADMIN$


La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS01-059 (Unchecked Buffer in Universal Plug and Play)
– MS02-018 (Patch for Internet Information Service)
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– VX05-006 (Remote Heap Overflow lorsque de l'utilisation de VERITAS Backup Exec Admin Plus Pack Option)
– La porte dérobée Bagle (port 2745)
– La porte dérobée Kuang (port 17300)
– La porte dérobée NetDevil (port 903)
– La porte dérobée Optix (port 3140)
– La porte dérobée SubSeven (port 27347)
– Le contrôle à distance DameWare (port 6129)


Le processus d'infection:
Il crée un script TFTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: irc.wolfpac.org
Port: 6667
Canal: #skull
Pseudonyme: USA%chaîne de caractères aléatoire de six digits%
Mot de passe: getlost



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antémémoire:
    • Capture d'écran
    • Capture de web caméra
    • Vitesse du CPU
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Information sur des processus courants
    • Taille de mémoire
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS TCP
    • Lance des attaques DDoS UDP
    • Désactiver DCOM
    • Désactiver les partages réseau
    • se déconnecter du serveur IRC
    • Télécharger un fichier
    • Activer DCOM
    • Activer les partages réseau
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande à distance
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Opérer la redirection d'un certain port
    • Redémarrer le système
    • Envoyer des e-mails
    • Commence le keylog
    • Se mettre à jour tout seul
    • Charger un fichier
    • Visiter un site web

 Vol d'informations Il essaie de voler l'information suivante:

– Les clés de CD suivantes:
   • Battlefield1942; Battlefield1942(RoadToRome);
      Battlefield1942(SecretWeaponsofWWII); BattlefieldVietnam;
      BlackandWhite; Command&ConquerGenerals;
      CommandandConquer:Generals(ZeroHour); CommandandConquer:RedAlert2;
      CommandandConquer:; Counter-Strike(Retail); Chrome; FIFA2002;
      FIFA2003; FreedomForce; GlobalOperations; GunmanChronicles; Half-Life;
      Hidden&Dangerous2; IGI2:CovertStrike; IndustryGiant2;
      JamesBond007:Nightfire; LegendsofMightandMagic;
      MedalofHonor:AlliedAssault; MedalofHonor:AlliedAssault:Breakthrough;
      MedalofHonor:AlliedAssault:Spearhead; NascarRacing2002;
      NascarRacing2003; NeedForSpeedHotPursuit2; NeedForSpeed:Underground;
      NeverwinterNights; NeverwinterNights(HordesoftheUnderdark);
      NeverwinterNights(ShadowsofUndrentide)NeverwinterNights(ShadowsofUndrentide);
      NHL2003; NHL2002; NOX; RainbowSixIIIRavenShield;
      Shogun:TotalWar:WarlordEdition; SoldierofFortuneII-DoubleHelix;
      SoldiersOfAnarchy; TheGladiators; UnrealTournament2003;
      UnrealTournament2004

– Une routine de journalisation est commencé après que la chaîne de caractères suivante soit tapée:
   • paypal

– Il capture:
    • Frappes de touche

– Une routine de journalisation est commencé après qu'un site web soit visité.
   • paypal.com

– Il capture:
    • Frappes de touche

 Informations divers Mutex:
Il crée le Mutex suivant:
   • a3c


Anti debugging
Il vérifie si une des fichiers suivants est présent:
   • \\.\SICE
   • \\.\NTICE

S'il réussit, il affiche ce qui suit et il s'arrête immédiatement après:


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Bogdan Iliuta le vendredi 10 novembre 2006
Description mise à jour par Bogdan Iliuta le vendredi 17 novembre 2006

Retour . . . .