Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/PoeBot.C.463
La date de la dcouverte:08/08/2007
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:124.436 Octets
Somme de contrle MD5:26990003e0aeb5f92fd7a900adbafee0

 Gnral Mthode de propagation:
   • Le rseau local


Les alias:
   •  Kaspersky: Backdoor.Win32.PoeBot.c
   •  Bitdefender: Backdoor.Agent.YRG


Plateformes / Systmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre un fichier
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il vole de l'information
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il cre sa propre copie en employant un nom de fichier d'une liste:
A: %SYSDIR%\ employant un des noms suivants:
   • csrs.exe
   • logon.exe
   • explorer.exe
   • supoolsvc.exe
   • lsass.exe
   • algs.exe
   • iexplore.exe
   • winamp.exe
   • firewall.exe
   • lssas.exe




Il supprime sa propre copie, excute initialement



Le fichier suivant est cr:

– Un fichier qui est pour l'utilisation temporaire et qui peut tre supprimer aprs:
   • C:\%chane de caractres alatoire%.bat

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:



On ajoute une des valeurs suivantes afin de lancer le processus aprs le redmarrage:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"
   • "Windows Logon Application"="%SYSDIR%\logon.exe"
   • "Windows Explorer"="%SYSDIR%\explorer.exe"
   • "Spooler SubSystem App"="%SYSDIR%\supoolsvc.exe"
   • "Local Security Authority Service"="%SYSDIR%\lsass.exe"
   • "Application Layer Gateway Service"="%SYSDIR%\algs.exe"
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"
   • "Winamp Agent"="%SYSDIR%\winamp.exe"
   • "Windows Network Firewall"=%SYSDIR%\firewall.exe
   • "Local Security Authority Service"="%SYSDIR%\lssas.exe"

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.

Il s'autocopie dans les partages rseau suivants:
   • IPC$
   • C$
   • D$
   • E$
   • C$\Documents and Settings\All Users\Documents\
   • C$\shared
   • C$\windows\system32
   • C$\windows
   • e$\shared
   • d$\shared
   • c$\winnt
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$
   • print$


Il emploie les informations d'identification suivantes afin de gagner accs la machine distante:

La liste suivante de noms d'utilisateurs:
   • staff; teacher; owner; student; intranet; lan; main; office; control;
      siemens; compaq; dell; cisco; ibm; oracle; sql; sa; data; access;
      database; domain; god; backup; technical; mary; katie; kate; george;
      eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
      luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
      user; homeuser; home; internet; www; web; root; server; linux; unix;
      computer; adm; admin; admins; administrat; administrateur;
      administrador; administrator

La liste suivante de mots de passe:
   • winpass; blank; xp; nokia; hp; orainstall; sqlpassoainstall; db1234;
      db2; db1; databasepassword; databasepass; dbpassword; dbpass;
      domainpassword; domainpass; hello; hell; love; money; slut; bitch;
      fuck; exchange; loginpass; login; qwe; zxc; asd; qaz; win2000; winnt;
      winxp; win2k; win98; windows; oeminstall; oem; accounting; accounts;
      letmein; sex; outlook; mail; qwerty; temp123; temp; null; default;
      changeme; demo; test; 2005; 2004; 2001; secret; payday; deadline;
      work; 1234567890; 123456789; 12345678; 1234567; 123456; 12345; 1234;
      123; 12; 007; pwd; pass; pass1234; dba; passwd; password; password1;
      abc; ab



La vulnrabilit:
Il se sert des vulnrabilits suivantes:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
 MS06-040 (Vulnrabilit dans Service de Serveur)


La cration des adresses IP:
Il cre des adresses IP alatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Aprs il essaye d'tablir une connexion avec les adresses cres.


Le processus d'infection:
Cre un script TFTP ou FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.


Excution distance:
Il essaye de programmer une excution distance du malware, sur la machine nouvellement infecte. Par consquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: zt.enterhere**********
Port: 5190
Canal: #usac
Pseudonyme: %chane de caractres alatoire de huit digits%



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antmmoire:
    • Vitesse du CPU
    • Utilisateur courant
     Dtails sur les pilots
    • Espace libre sur le disque dur
    • Mmoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le rseau
    • L'ID de la plateforme
    • Taille de mmoire
    • Nom d'utilisateur
    • L'activit local des utilisateurs


 Ensuite il a la capacit d'oprer des actions tel que:
     Lancer des attaques DDoS ICMP
     Lancer des attaques DDoS SYN
     Lance des attaques DDoS UDP
    • Tlcharger un fichier
    • Excuter un fichier
    • Joindre le canal IRC
    • Finir le processus
     Scanner le rseau
    • Redmarrer le systme
    • Envoyer des e-mails
     Commence le keylog
     Se mettre jour tout seul

 Vol d'informations Il essaie de voler l'information suivante:
 Les mots de passe tap dans les champs 'insrer le mot de passe'
 Les mots de passe employs par la fonction AutoComplete
 Des informations sur le compte d'email, obtenues de la cl de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

Les mots de passe des programmes suivants:
   • FlashFXP
   • MSN Messenger
   • OutlookExpress
   • UnrealIRCD
   • World Of Warcraft
   • Steam
   • Conquer Online
   • Unreal3

Une routine de journalisation est commenc aprs que la chane de caractres suivante soit tape:
   • paypal

– Il capture:
     Frappes de touche

Une routine de journalisation est commenc aprs qu'un site web soit visit.
   • paypal.com

 Il capture:
     Frappes de touche
     Information du compte

 Informations divers Mutex:


Il cre le Mutex suivant:
   • dcf7d2f7071938ba83b50c70eedd5ceb8984

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Monica Ghitun le mercredi 7 novembre 2007
Description mise à jour par Monica Ghitun le jeudi 8 novembre 2007

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.