Nom:Worm/RBot.328262
La date de la découverte:08/07/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:558.080 Octets
Somme de contrôle MD5:a36bf2770D4763d8f53ae224d9bcfb57
Version VDF:6.31.0.172

 Général Méthodes de propagation:
   • Le réseau local


L'alias:
   •  Sophos: W32/Tilebot-HD


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\lsass.exe



Il écrase les fichiers suivants.
%SYSDIR%\ftp.exe
%SYSDIR%\tftp.exe



Il supprime sa propre copie, exécutée initialement

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\lsass.exe"
   • "DisplayName"="Spool SubSystem App"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%hex value%
   • "Description"="Spool SubSystem App"



Les clés de registre suivantes sont ajoutée:

– HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App\Security
   • "Security"=%hex value%

– HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App\Enum
   • "0"="Root\\LEGACY_SPOOL_SUBSYSTEM_APP\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP\
   0000
   • "Service"="Spool SubSystem App"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Spool SubSystem App"

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP\
   0000\Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Spool SubSystem App"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "windns"=%le dossier d'exécution du malware%\%le fichier exécuté%

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • c$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32
   • ADMIN$


La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: mail2.tik**********
Port: 9632;7412
Canal: #z#
Pseudonyme: [P00|USA|%chaîne de caractères aléatoire de huit digits%]
Mot de passe: m00



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Information sur des processus courants
    • Taille de mémoire
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • Désactiver les partages réseau
    • Télécharger un fichier
    • Éditer le registre
    • Activer les partages réseau
    • Exécuter un fichier
    • Finir le processus
    • Ouvrir une ligne de commande à distance
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Opérer la redirection d'un certain port
    • Terminer le Malware
    • Se mettre à jour tout seul

 Porte dérobée Serveur de contact:
Le suivant:
   • htp://www.littleworld.pe.kr/**********

Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\sfc_os.dll

    Tous les processus suivants:
   • %SYSDIR%\winlogon.exe
   • %SYSDIR%\svchost.exe
   • %SYSDIR%\spoolsv.exe


 Informations divers Mutex:
Il crée le Mutex suivant:
   • w7p5h9e5k7x5


Anti debugging
Il vérifie si le fichier suivant est présent:
   • \\.\NTICE



Modification du fichier:
Pour augmenter le nombre des connexions il a la capacité de modifier le fichier tcpip.sys. Le fichier pourra subir du dégât et l’interconnexion des circuits pourra être interrompue. Pour arrêter la fonction Windows File Protection (WFP) il y a la possibilité de modifier le fichier sfc_os.dll à Offset 0000E2B8. Avec Windows File Protection on envisage d’éluder une des problèmes connus de la DLL Inkonstinenz.

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Bogdan Iliuta le vendredi 13 octobre 2006
Description mise à jour par Andrei Gherman le mardi 21 novembre 2006

Retour . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tous droits réservés.

Mon Compte

https:// Cet écran est crypté pour votre sécurité.