Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/RBot.328262
La date de la dcouverte:08/07/2005
Type:Ver
En circulation:Non
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:558.080 Octets
Somme de contrle MD5:a36bf2770D4763d8f53ae224d9bcfb57
Version VDF:6.31.0.172

 Gnral Mthodes de propagation:
   • Le rseau local


L'alias:
   •  Sophos: W32/Tilebot-HD


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\lsass.exe



Il crase les fichiers suivants.
%SYSDIR%\ftp.exe
%SYSDIR%\tftp.exe



Il supprime sa propre copie, excute initialement

 Registre Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\lsass.exe"
   • "DisplayName"="Spool SubSystem App"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%hex value%
   • "Description"="Spool SubSystem App"



Les cls de registre suivantes sont ajoute:

HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App\Security
   • "Security"=%hex value%

HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App\Enum
   • "0"="Root\\LEGACY_SPOOL_SUBSYSTEM_APP\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP
   • "NextInstance"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP\
   0000
   • "Service"="Spool SubSystem App"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Spool SubSystem App"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP\
   0000\Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Spool SubSystem App"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "windns"=%le dossier d'excution du malware%\%le fichier excut%

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.

Il s'autocopie dans les partages rseau suivants:
   • c$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32
   • ADMIN$


La vulnrabilit:
Il se sert des vulnrabilits suivantes:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Le processus d'infection:
Il cre un script FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.


Excution distance:
Il essaye de programmer une excution distance du malware, sur la machine nouvellement infecte. Par consquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: mail2.tik**********
Port: 9632;7412
Canal: #z#
Pseudonyme: [P00|USA|%chane de caractres alatoire de huit digits%]
Mot de passe: m00



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mmoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le rseau
    • Information sur des processus courants
    • Taille de mmoire
    • Information sur le systme d'exploitation Windows


 Ensuite il a la capacit d'oprer des actions tel que:
     Lancer des attaques DDoS ICMP
     Lancer des attaques DDoS SYN
     Lance des attaques DDoS UDP
    • Dsactiver les partages rseau
    • Tlcharger un fichier
    • diter le registre
    • Activer les partages rseau
    • Excuter un fichier
    • Finir le processus
    • Ouvrir une ligne de commande distance
    • Oprer un attaque DDoS
     Scanner le rseau
    • Oprer la redirection d'un certain port
    • Terminer le Malware
     Se mettre jour tout seul

 Porte drobe Serveur de contact:
Le suivant:
   • htp://www.littleworld.pe.kr/**********

Ceci est fait par l'intermdiaire de la requte HTTP GET du script PHP.

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\sfc_os.dll

    Tous les processus suivants:
   • %SYSDIR%\winlogon.exe
   • %SYSDIR%\svchost.exe
   • %SYSDIR%\spoolsv.exe


 Informations divers Mutex:
Il cre le Mutex suivant:
   • w7p5h9e5k7x5


Anti debugging
Il vrifie si le fichier suivant est prsent:
   • \\.\NTICE



Modification du fichier:
Pour augmenter le nombre des connexions il a la capacit de modifier le fichier tcpip.sys. Le fichier pourra subir du dgt et linterconnexion des circuits pourra tre interrompue. Pour arrter la fonction Windows File Protection (WFP) il y a la possibilit de modifier le fichier sfc_os.dll Offset 0000E2B8. Avec Windows File Protection on envisage dluder une des problmes connus de la DLL Inkonstinenz.

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Bogdan Iliuta le vendredi 13 octobre 2006
Description mise à jour par Andrei Gherman le mardi 21 novembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.