Nom:Worm/Aimbot.EQ
La date de la découverte:13/10/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen à élevé
Fichier statique:Oui
Taille du fichier:1.184.256 Octets
Somme de contrôle MD5:5fab5a579a0Af582d3a9b99454727125
Version VDF:6.35.01.101
Version IVDF:6.35.01.102 - mercredi 16 août 2006

 Général Méthodes de propagation:
   • Le réseau local
   • Programme de messagerie


Les alias:
   •  Kaspersky: Backdoor.Win32.Aimbot.eq
   •  TrendMicro: WORM_RBOT.UV
   •  Eset: Win32/Rbot
   •  Bitdefender: Backdoor.Aimbot.EQ


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\mde.exe



Le fichier suivant est créé:

%SYSDIR%\drivers\oreans32.sys Ensuite, il est exécuté après avoir été completment crée.

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
     "Start"=dword:00000001
     "ErrorControl"=dword:00000001
     "ImagePath"=\??\%SYSDIR%\drivers\oreans32.sys
     "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Les clés de registre suivantes sont ajoutée:

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000]
   • "Service"="oreans32"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="oreans32"

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– AIM Messenger

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • C$
   • D$


La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.


Ralentissement de connexion:
– Il est également possible de remarquer un léger ralentissement du système dû aux multiples fils d'exécution créés en réseau.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: irc.fucknet.**********
Port: 6667
Canal: #~#
Pseudonyme: [P00|USA|8%chaîne de caractères aléatoire de quatre digits%]
Mot de passe: !@#


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Joindre le canal IRC
    • Quitter la canal IRC
    • Scanner le réseau
    • Envoyer des e-mails

 Vol d'informations Il essaie de voler l'information suivante:
– L'ID du produit Windows

– Il emploie un analyseur de réseau qui vérifie la chaîne de caractères suivante :
   • :!x

 Informations divers Mutex:
Il crée le Mutex suivant:
   • %chaîne de caractères aléatoire de cinq digits%


Anti debugging
Il vérifie si le programme suivant est en exécution:
   • SoftIce

En cas de succès, il s'arrête immédiatement.

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Monica Ghitun le lundi 16 octobre 2006
Description mise à jour par Monica Ghitun le mercredi 1 novembre 2006

Retour . . . .