Nom:Worm/Rbot.174080.17
La date de la découverte:10/01/2007
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:174.080 Octets
Somme de contrôle MD5:e91667e7223781232714025c739361d4
Version VDF:6.36.00.213
Version IVDF:6.36.00.237 - dimanche 5 novembre 2006

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Kaspersky: Backdoor.Win32.Rbot.gen
   •  Grisoft: IRC/BackDoor.SdBot2.KSK


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\%chaîne de caractères aléatoire de sept digits%.exe



Il supprime sa propre copie, exécutée initialement

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Windows Update"="%chaîne de caractères aléatoire de sept digits%.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "Microsoft Windows Update"="%chaîne de caractères aléatoire de sept digits%.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Windows Update"="%chaîne de caractères aléatoire de sept digits%.exe"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • C$
   • D$
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

–Les noms d'utilisateurs et les mots de passe en antémémoire.

– Une liste de noms d'utilisateurs et de mots de passe:
   • administrator; administrador; administrateur; administrat; admins;
      admin; staff; root; computer; owner; student; teacher; wwwadmin;
      guest; default; database; dba; oracle; db2; administrator;
      administrador; administrateur; administrat; admins; admin; adm;
      password1; password; passwd; pass1234; pass; pwd; 007; 123; 1234;
      12345; 123456; 1234567; 12345678; 123456789; 1234567890; 2000; 2001;
      2002; 2003; 2004; test; guest; none; demo; unix; linux; changeme;
      default; system; server; root; null; qwerty; mail; outlook; web; www;
      internet; accounts; accounting; home; homeuser; user; oem; oemuser;
      oeminstall; windows; win98; win2k; winxp; winnt; win2000; qaz; asd;
      zxc; qwe; bob; jen; joe; fred; bill; mike; john; peter; luke; sam;
      sue; susan; peter; brian; lee; neil; ian; chris; eric; george; kate;
      bob; katie; mary; login; loginpass; technical; backup; exchange; fuck;
      bitch; slut; sex; god; hell; hello; domain; domainpass;
      domainpassword; database; access; dbpass; dbpassword; databasepass;
      data; databasepassword; db1; db2; db1234; sql; sqlpassoainstall;
      orainstall; oracle; ibm; cisco; dell; compaq; siemens; nokia; control;
      office; blank; winpass; main; lan; internet; intranet; student;
      teacher; staff



La vulnérabilité:
– MS02-018 (Patch for Internet Information Service)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
– VX05-006 (Remote Heap Overflow lorsque de l'utilisation de VERITAS Backup Exec Admin Plus Pack Option)


Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: bacho.hassouna.**********
Port: 6667
Canal: #UrX#
Pseudonyme: USA|%chaîne de caractères aléatoire de cinq digits%
Mot de passe: #UrX#



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antémémoire:
    • Capture d'écran
    • Capture de web caméra
    • Vitesse du CPU
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Taille de mémoire
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS TCP
    • Lance des attaques DDoS UDP
    • Désactiver les partages réseau
    • Activer les partages réseau
    • Exécuter un fichier
    • Joindre le canal IRC
    • Quitter la canal IRC
    • Ouvrir une ligne de commande à distance
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Opérer la redirection d'un certain port
    • Redémarrer le système
    • Envoyer des e-mails
    • Terminer le Malware
    • Terminer un processus
    • Se mettre à jour tout seul
    • Charger un fichier
    • Visiter un site web

 Arrêt de processus: La liste des processus qui sont terminés:
   • regedit.exe; msconfig.exe; netstat.exe; msblast.exe; zapro.exe;
      navw32.exe; navapw32.exe; zonealarm.exe; wincfg32.exetaskmon.exe;
      PandaAVEngine.exe; sysinfo.exe; mscvb32.exe; MSBLAST.exe; teekids.exe;
      Penis32.exe; bbeagle.exe; SysMonXP.exe; winupd.exe; winsys.exe;
      ssate.exe; rate.exe; d3dupdate.exe; irun4.exe; i11r54n4.exe


 Vol d'informations Il essaie de voler l'information suivante:
– L'ID du produit Windows

– Les mots de passe des programmes suivants:
   • Battlefield 1942
   • Battlefield 1942 (Road To Rome)
   • Battlefield 1942 (Secret Weapons of WWII)
   • Battlefield Vietnam
   • Black and White
   • Command & Conquer Generals
   • Command and Conquer: Generals (Zero Hour)
   • Command and Conquer: Red Alert 2
   • Command and Conquer: Tiberian Sun
   • Counter-Strike (Retail)
   • Chrome
   • FIFA 2002
   • FIFA 2003
   • Freedom Force
   • Global Operations
   • Gunman Chronicles
   • Half-Life
   • Hidden & Dangerous 2
   • IGI 2: Covert Strike
   • Industry Giant 2
   • James Bond 007: Nightfire
   • Legends of Might and Magic
   • Medal of Honor: Allied Assault
   • Medal of Honor: Allied Assault: Breakthrough
   • Medal of Honor: Allied Assault: Spearhead
   • Nascar Racing 2002
   • Nascar Racing 2003
   • Need For Speed Hot Pursuit 2
   • Need For Speed: Underground
   • Neverwinter Nights
   • Neverwinter Nights (Hordes of the Underdark)
   • Neverwinter Nights (Shadows of Undrentide)
   • NHL 2003
   • NHL 2002
   • NOX
   • Rainbow Six III RavenShield
   • Shogun: Total War: Warlord Edition
   • Soldier of Fortune II - Double Helix
   • Soldiers Of Anarchy
   • The Gladiators
   • Unreal Tournament 2003
   • Unreal Tournament 2004

– il emploie un analyseur de réseau qui vérifie la chaîne de caractères suivante :
   • :.login; :,login; :!login; :@login; :$login; :%login; :^login;
      :&login; :*login; :-login; :+login; :/login; :\login; :=login;
      :?login; :'login; :`login; :~login; : login; :.auth; :,auth; :!auth;
      :@auth; :$auth; :%auth; :^auth; :&auth; :*auth; :-auth; :+auth;
      :/auth; :\auth; :=auth; :?auth; :'auth; :`auth; :~auth; : auth; :.id;
      :,id; :!id; :@id; :$id; :%id; :^id; :&id; :*id; :-id; :+id; :/id;
      :\id; :=id; :?id; :'id; :`id; :~id; : id; :.hashin; :!hashin;
      :$hashin; :%hashin; :.secure; :!secure; :.l; :!l; :$l; :%l; :.x; :!x;
      :$x; :%x; :.syn; :!syn; :$syn; :%syn; :!ident; :.ident

– Une routine de journalisation est commencé après que la chaîne de caractères suivante soit tapée:
   • paypal

– Il capture:
    • Frappes de touche

– Une routine de journalisation est commencé après qu'un site web soit visité.
   • http://www.paypal.com

– Il capture:
    • Information du compte

 Informations divers Mutex:
Il crée le Mutex suivant:
   • stfu

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • PE Win32 Dll

Description insérée par Monica Ghitun le mercredi 10 janvier 2007
Description mise à jour par Monica Ghitun le jeudi 11 janvier 2007

Retour . . . .