Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Botsie
La date de la dcouverte:30/05/2007
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:499.712 Octets
Somme de contrle MD5:c44df8425589705fcd32694a3a7a77ac
Version IVDF:6.38.01.204 - mercredi 30 mai 2007

 Gnral Mthodes de propagation:
   • Le rseau local
    Programme de messagerie


Les alias:
   •  Mcafee: W32/Sdbot.worm.gen.ca
   •  Kaspersky: Backdoor.Win32.VanBot.da
   •  F-Secure: Backdoor.Win32.VanBot.da
   •  Sophos: W32/Vanebot-AT
   •  Panda: W32/IRCbot.AUU.worm
   •  Grisoft: IRC/BackDoor.SdBot3.BJA
   •  Eset: Win32/IRCBot.UG


Plateformes / Systmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrt les applications de scurit
   • Il diminue les rglages de scurit
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il vole de l'information
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\dllcache\winsntp.exe



Il supprime sa propre copie, excute initialement

 Registre Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

[HKLM\SYSTEM\CurrentControlSet\Services\
   Memorex Network Analysis Tool]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %SYSDIR%\dllcache\winsntp.exe
   • DisplayName = Memorex Network Analysis Tool
   • ObjectName = LocalSystem
   • FailureActions = %valeurs hexa%
   • Description = Memorex Network tool is a TCP analysis tool.

[HKLM\SYSTEM\CurrentControlSet\Services\
   Memorex Network Analysis Tool\Security]
   • Security = %valeurs hexa%

[HKLM\SYSTEM\CurrentControlSet\Services\
   Memorex Network Analysis Tool\Enum]
   • 0 = Root\LEGACY_MEMOREX_NETWORK_ANALYSIS_TOOL\0000
   • Count = 1
   • NextInstance = 1

 Programme de messagerie Il se rpand par l'intermdiaire du programme de messagerie. Les caractristiques sont dcrites ci-dessous:

 AIM Messenger
 ICQ Messenger
Windows Live Messenger
 Yahoo Messenger


A:
Tous les entrs de la liste de contacts:

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.


Il emploie les informations d'identification suivantes afin de gagner accs la machine distante:

Une liste de noms d'utilisateurs et de mots de passe:
   • www; windows; web; visitor; test2; test1; test; temp; telnet; ruler;
      remote; real; random; qwerty; public; pub; private; poiuytre;
      password; passwd; pass; oracle; one; nopass; nobody; nick; newpass;
      new; network; monitor; money; manager; mail; login; internet; install;
      hello; guest; free; demo; default; debug; database; crew; computer;
      coffee; bin; beta; backup; backdoor; anonymous; anon; alpha; adm;
      access; abc123; abc; system; sys; super; sql; shit; shadow; setup;
      security; secure; secret; 123456789; 12345678; 1234567; 123456; 12345;
      1234; 123; 00000000; 0000000; 000000; 00000; 0000; 000; server;
      asdfgh; admin; root



La vulnrabilit:
Il se sert des vulnrabilits suivantes:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)
 MS06-040 (Vulnrabilit dans Service de Serveur)


Le processus d'infection:
Il cre un script FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: 66.64.36.**********
Port: 4904
Canal: #net#
Pseudonyme: 0]USA|%la version de Windows%[P]%plusieurs chiffres ale?atoires%



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antmmoire:
    • Vitesse du CPU
    • Utilisateur courant
     Dtails sur les pilots
    • Espace libre sur le disque dur
    • Mmoire libre
    • Le temps de fonctionnement du Malware
    • Taille de mmoire
    • Nom d'utilisateur
    • Information sur le systme d'exploitation Windows


 Ensuite il a la capacit d'oprer des actions tel que:
     Lancer des attaques DDoS SYN
    • Tlcharger un fichier
    • Excuter un fichier
     Scanner le rseau
     Commence le keylog
     Dmarrer une routine de propagation
    • Terminer le Malware
    • Terminer un processus

 Arrt de processus: Les processus avec une des chanes de caractres suivantes sont termins:
   • Ad-aware; spyware; hijack; kav; proc; norton; mcafee; f-pro; lockdown;
      firewall; blackice; avg; vsmon; zonea; spybot; nod32; reged; avp;
      troja; viru; anti


La liste des services qui sont dsactivs:
   • Norton AntiVirus Auto Protect Service
   • Mcshield
   • Panda Antivirus

 Porte drobe Les ports suivants sont ouverts:

%SYSDIR%\dllcache\winsntp.exe sur un port TCP alatoire afin de fournir un serveur FTP
%SYSDIR%\dllcache\winsntp.exe sur un port TCP alatoire afin de fonctionner comme serveur proxy Sock 4.

 Dtails de fichier Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • Themida

Description insérée par Andrei Gherman le mercredi 24 octobre 2007
Description mise à jour par Andrei Gherman le mercredi 24 octobre 2007

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.