Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Rbot.210944
La date de la dcouverte:09/06/2004
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:88.064 Octets
Somme de contrle MD5:30d1ceeb713701948f1746dd3912f7d3
Version VDF:6.25.00.89

 Gnral Mthode de propagation:
   • Le rseau local


Les alias:
   •  Kaspersky: Backdoor.Win32.Rbot.adf
   •  Eset: Win32/Rbot
   •  Bitdefender: Backdoor.RBot.ADF


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\%chane de caractres alatoire de six digits%.exe



Il supprime sa propre copie, excute initialement

 Registre Les cls suivantes sont en permanence ajoutes aux registres, dans une boucle infinie, afin de lancer les processus aprs le redmarrage.

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Threeder infoe"="%chane de caractres alatoire de six digits%.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Threeder infoe"="%chane de caractres alatoire de six digits%.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Threeder infoe"="%chane de caractres alatoire de six digits%.exe"



La cl de registre suivante est ajoute:

HKCU\Software\Microsoft\OLE
   • "Threeder infoe"="%chane de caractres alatoire de six digits%.exe"



La cl de registre suivante est change:

HKLM\SYSTEM\ControlSet001\Control\Lsa
   L'ancienne valeur:
   • "restrictanonymous"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.

Il s'autocopie dans les partages rseau suivants:
   • IPC$
   • C$
   • ADMIN$
Une liste de noms d'utilisateurs et de mots de passe:
   • 7; 123; 1234; 2000; 2001; 2002; 2003; 2004; 12345; 123456; 1234567;
      12345678; 123456789; 1234567890; access; accounting; accounts; adm;
      admin; administrador; administrat; administrateur; administrator;
      admins; asd; backup; bill; bitch; blank; bob; brian; changeme; chris;
      cisco; compaq; computer; control; data; database; databasepass;
      databasepassword; db1; db1234; db2; dba; dbpass; dbpassword; default;
      dell; demo; domain; domainpass; domainpassword; eric; exchange; fred;
      fuck; george; god; guest; hell; hello; home; homeuser; ian; ibm;
      internet; intranet; jen; joe; john; kate; katie; lan; lee; linux;
      login; loginpass; luke; mail; main; mary; mike; neil; nokia; none;
      null; oem; oeminstall; oemuser; office; oracle; orainstall; outlook;
      owner; pass; pass1234; passwd; password1; peter; pwd; qaz; qwe;
      qwerty; root; sam; sex; siemens; slut; sql; sqlpassoainstall; staff;
      student; sue; susan; system; teacher; technical; test; unix; user;
      web; win2000; win2k; win98; windows; winnt; winpass; winxp; www;
      wwwadmin; zxc



La vulnrabilit:
Il se sert des vulnrabilits suivantes:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Le processus d'infection:
Cre un script TFTP ou FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.


Excution distance:
Il essaye de programmer une excution distance du malware, sur la machine nouvellement infecte. Par consquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le systme et d'accs distance, il se connecte aux serveurs IRC suivants:

Serveur: ded.b52kil**********
Port: 6667
Canal: #MM#
Pseudonyme: USA|%chane de caractres alatoire de neuf digits%
Mot de passe: Bb

Serveur: wsw.t12**********
Port: 7000
Canal: #MM#
Pseudonyme: USA|%chane de caractres alatoire de neuf digits%
Mot de passe: Bb



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Capture d'cran
    • Capture de web camra
     Les adresses email recueillies
    • Vitesse du CPU
     Dtails sur les pilots
    • Espace libre sur le disque dur
    • Mmoire libre
    • Information sur le rseau
    • Information sur des processus courants
    • Taille de mmoire
    • Rpertoire de systme
    • Information sur le systme d'exploitation Windows


 Ensuite il a la capacit d'oprer des actions tel que:
     Lancer des attaques DDoS ICMP
     Lancer des attaques DDoS SYN
    • Lance des attaques DDoS TCP
     Lance des attaques DDoS UDP
    • Dsactiver DCOM
    • Dsactiver les partages rseau
     se dconnecter du serveur IRC
    • Tlcharger un fichier
    • diter le registre
    • Activer DCOM
    • Activer les partages rseau
    • Excuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande distance
    • Oprer un attaque DDoS
     Scanner le rseau
    • Oprer la redirection d'un certain port
     Enregistrer un service
    • Redmarrer le systme
    • Envoyer des e-mails
     Commence le keylog
     Dmarrer une routine de propagation
    • Terminer le Malware
    • Terminer un processus
     Se mettre jour tout seul
    • Charger un fichier
     Visiter un site web

 Arrt de processus: Il essaye d'arrter le processus suivant et il supprime les fichiers correspondants:
   • Bi11r54n4.exe; irun4.exe; d3dupdate.exe; rate.exe; ssate.exe;
      winsys.exe; winupd.exe; SysMonXP.exe; bbeagle.exe; Penis32.exe;
      teekids.exe; MSBLAST.exe; mscvb32.exe; sysinfo.exe; PandaAVEngine.exe;
      wincfg32.exetaskmon.exe; zonealarm.exe; navapw32.exe; navw32.exe;
      zapro.exe; msblast.exe


 Vol d'informations Il essaie de voler l'information suivante:
– L'ID du produit Windows

Les cls de CD suivantes:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White;
      Command & Conquer Generals; Command and Conquer: Generals (Zero Hour);
      Command and Conquer: Red Alert 2; Command and Conquer: Tiberian Sun;
      Counter-Strike (Retail); Chrome; FIFA 2002; FIFA 2003; Freedom Force;
      Global Operations; Gunman Chronicles; Half-Life; Hidden & Dangerous 2;
      IGI 2: Covert Strike; Industry Giant 2; James Bond 007: Nightfire;
      Legends of Might and Magic; Medal of Honor: Allied Assault; Medal of
      Honor: Allied Assault: Breakthrough; Medal of Honor: Allied Assault:
      Spearhead; Nascar Racing 2002; Nascar Racing 2003; Need For Speed Hot
      Pursuit 2; Need For Speed: Underground; Neverwinter Nights;
      Neverwinter Nights (Hordes of the Underdark); Neverwinter Nights
      (Shadows of Undrentide); NHL 2003; NHL 2002; NOX; Rainbow Six III
      RavenShield; Shogun: Total War: Warlord Edition; Soldier of Fortune II
      - Double Helix; Soldiers Of Anarchy; The Gladiators; Unreal Tournament
      2003; Unreal Tournament 2004

il emploie un analyseur de rseau qui vrifie la chane de caractres suivante :
   • :.login; :,login; :!login; :@login; :$login; :%login; :^login;
      :*login; :-login; :+login; :/login; :\login; :=login; :?login;
      :'login; :`login; :~login; : login; :.auth; :,auth; :!auth; :@auth;
      :$auth; :%auth; :^auth; :&auth; :*auth; :-auth; :+auth; :/auth;
      :\auth; :=auth; :?auth; :'auth; :`auth; :~auth; : auth; :.id; :,id;
      :!id; :@id; :$id; :%id; :^id; :&id; :*id; :-id; :+id; :/id; :\id;
      :=id; :?id; :'id; :`id; :~id; : id; :.hashin; :!hashin; :$hashin;
      :%hashin; :.secure; :!secure; :.l; :!l; :$l; :%l; :.x; :!x; :$x; :%x;
      :.syn; :!syn; :$syn; :%syn

Une routine de journalisation est commence aprs qu'un site web soit visit, qui contient la sous chane de caractres suivante dans son URL:
   • paypal

 Il capture:
     Frappes de touche

 Informations divers Mutex:
Il cre le Mutex suivant:
   • wmwm

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Andrei Ivanes le vendredi 28 avril 2006
Description mise à jour par Irina Boldea le mercredi 31 janvier 2007

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.