Nom:Worm/VanBot.ay
La date de la découverte:13/03/2007
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:161.792 Octets
Somme de contrôle MD5:d1923c613668592b0f579d96db21b738
Version VDF:6.38.00.43
Version IVDF:6.38.00.44 - mardi 13 mars 2007

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Kaspersky: Backdoor.Win32.VanBot.ay
   •  F-Secure: Backdoor.Win32.VanBot.ay
   •  Eset: Win32/Poebot


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il crée sa propre copie en employant un nom de fichier d'une liste:
– A: %SYSDIR%\ employant un des noms suivants:
   • csrs.exe
   • logon.exe
   • explorer.exe
   • supoolsvc.exe
   • lsass.exe
   • algs.exe
   • iexplore.exe
   • winamp.exe
   • firewall.exe
   • lssas.exe
   • winIogon.exe
   • spooIsv.exe
   • spoolsvc.exe




Il supprime sa propre copie, exécutée initialement



Le fichier suivant est créé:

%le dossier d'exécution du malware%\%chaîne de caractères aléatoire%.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"
   • "Windows Logon Application"="%SYSDIR%\logon.exe"
   • "Windows Explorer"="%SYSDIR%\explorer.exe"
   • "Spooler SubSystem App"="%SYSDIR%\supoolsvc.exe"
   • "Local Security Authority Service"="%SYSDIR%\lsass.exe"
   • "Application Layer Gateway Service"="%SYSDIR%\algs.exe"
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"
   • "Winamp Agent"="%SYSDIR%\winamp.exe"
   • "Windows Network Firewall"="%SYSDIR%\firewall.exe
   • "Local Security Authority Service"="%SYSDIR%\lssas.exe"
   • "Windows Logon Application"="%SYSDIR%\winIogon.exe"
   • "Spooler SubSystem App"="%SYSDIR%\spooIsvc.exe"
   • "Spooler SubSystem App"="%SYSDIR%\spoolsvc.exe"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • IPC$
   • print$
   • C$\Documents and Settings\All Users\Documents\$
   • admin$
   • Admin$\system32
   • c$\windows\system32
   • c$\winnt\system32
   • c$\windows
   • c$\winnt
   • e$\shared
   • d$\shared
   • c$\shared


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– La liste suivante de noms d'utilisateurs:
   • staff; teacher; owner; student; intranet; lan; main; office; control;
      siemens; compaq; dell; cisco; ibm; oracle; sql; data; access;
      database; domain; god; backup; technical; mary; katie; kate; george;
      eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
      luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
      user; homeuser; home; internet; www; web; root; server; linux; unix;
      computer; adm; admin; admins; administrat; administrateur;
      administrador; administrator

– La liste suivante de mots de passe:
   • winpass; blank; nokia; orainstall; sqlpassoainstall; db1234; db2; db1;
      databasepassword; databasepass; dbpassword; dbpass; domainpassword;
      domainpass; hello; hell; love; money; slut; bitch; fuck; exchange;
      loginpass; login; qwe; zxc; asd; qaz; win2000; winnt; winxp; win2k;
      win98; windows; oeminstall; oem; accounting; accounts; letmein; sex;
      outlook; mail; qwerty; temp123; temp; null; default; changeme; demo;
      test; 2005; 2004; 2001; secret; payday; deadline; work; 1234567890;
      123456789; 12345678; 1234567; 123456; 12345; 1234; 123; 007; pwd;
      pass; pass1234; dba; passwd; password; password1; abc



La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: l33.ko0ppol.**********
Port: 4545
Canal: #nerds#
Pseudonyme: %chaîne de caractères aléatoire%

Serveur: a11.je34ke5.**********
Port: 8585
Canal: #nerds#
Pseudonyme: %chaîne de caractères aléatoire%



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Détails sur les pilots
    • Espace libre sur le disque dur
    • Mémoire libre
    • Information sur le réseau
    • Taille de mémoire
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS SYN
    • Télécharger un fichier
    • Scanner le réseau

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe employés par la fonction AutoComplete

– Les clés de CD suivantes:
   • World Of Warcraft
   • Unreal3
   • Steam
   • Conquer Online

– Les mots de passe des programmes suivants:
   • FlashFXP
   • MSN
   • OutlookExpress

– Une routine de journalisation est commencé après que les chaînes de caractères suivantes soient tapées:
   • paypal; cd key; cd-key; cdkey; passwort; auth; sxt; login; pw=; pass=;
      login=; password=; username=; passwd=; :auth; identify; oper;
      MailPass; pass; unknown; user

– Il capture:
    • Frappes de touche

– Une routine de journalisation est commencée après qu'un site web soit visité, qui contient la sous chaîne de caractères suivante dans son URL:
   • paypal.com

– Il capture:
    • Information du compte

 Informations divers Mutex:
Il crée le Mutex suivant:
   • cd9f82a30d4ee5d683ae1fc7575b139ab344

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Adriana Popa le lundi 12 mars 2007
Description mise à jour par Adriana Popa le vendredi 16 mars 2007

Retour . . . .