Nom:Worm/PoeBot.C.463
La date de la découverte:08/08/2007
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:124.436 Octets
Somme de contrôle MD5:26990003e0aeb5f92fd7a900adbafee0

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Kaspersky: Backdoor.Win32.PoeBot.c
   •  Bitdefender: Backdoor.Agent.YRG


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il crée sa propre copie en employant un nom de fichier d'une liste:
– A: %SYSDIR%\ employant un des noms suivants:
   • csrs.exe
   • logon.exe
   • explorer.exe
   • supoolsvc.exe
   • lsass.exe
   • algs.exe
   • iexplore.exe
   • winamp.exe
   • firewall.exe
   • lssas.exe




Il supprime sa propre copie, exécutée initialement



Le fichier suivant est créé:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • C:\%chaîne de caractères aléatoire%.bat

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:



On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"
   • "Windows Logon Application"="%SYSDIR%\logon.exe"
   • "Windows Explorer"="%SYSDIR%\explorer.exe"
   • "Spooler SubSystem App"="%SYSDIR%\supoolsvc.exe"
   • "Local Security Authority Service"="%SYSDIR%\lsass.exe"
   • "Application Layer Gateway Service"="%SYSDIR%\algs.exe"
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"
   • "Winamp Agent"="%SYSDIR%\winamp.exe"
   • "Windows Network Firewall"=%SYSDIR%\firewall.exe
   • "Local Security Authority Service"="%SYSDIR%\lssas.exe"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • IPC$
   • C$
   • D$
   • E$
   • C$\Documents and Settings\All Users\Documents\
   • C$\shared
   • C$\windows\system32
   • C$\windows
   • e$\shared
   • d$\shared
   • c$\winnt
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$
   • print$


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– La liste suivante de noms d'utilisateurs:
   • staff; teacher; owner; student; intranet; lan; main; office; control;
      siemens; compaq; dell; cisco; ibm; oracle; sql; sa; data; access;
      database; domain; god; backup; technical; mary; katie; kate; george;
      eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
      luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
      user; homeuser; home; internet; www; web; root; server; linux; unix;
      computer; adm; admin; admins; administrat; administrateur;
      administrador; administrator

– La liste suivante de mots de passe:
   • winpass; blank; xp; nokia; hp; orainstall; sqlpassoainstall; db1234;
      db2; db1; databasepassword; databasepass; dbpassword; dbpass;
      domainpassword; domainpass; hello; hell; love; money; slut; bitch;
      fuck; exchange; loginpass; login; qwe; zxc; asd; qaz; win2000; winnt;
      winxp; win2k; win98; windows; oeminstall; oem; accounting; accounts;
      letmein; sex; outlook; mail; qwerty; temp123; temp; null; default;
      changeme; demo; test; 2005; 2004; 2001; secret; payday; deadline;
      work; 1234567890; 123456789; 12345678; 1234567; 123456; 12345; 1234;
      123; 12; 007; pwd; pass; pass1234; dba; passwd; password; password1;
      abc; ab



La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
– MS06-040 (Vulnérabilité dans Service de Serveur)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.


Le processus d'infection:
Crée un script TFTP ou FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: zt.enterhere**********
Port: 5190
Canal: #usac
Pseudonyme: %chaîne de caractères aléatoire de huit digits%



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antémémoire:
    • Vitesse du CPU
    • Utilisateur courant
    • Détails sur les pilots
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • L'ID de la plateforme
    • Taille de mémoire
    • Nom d'utilisateur
    • L'activité local des utilisateurs


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • Télécharger un fichier
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Scanner le réseau
    • Redémarrer le système
    • Envoyer des e-mails
    • Commence le keylog
    • Se mettre à jour tout seul

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'
– Les mots de passe employés par la fonction AutoComplete
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Les mots de passe des programmes suivants:
   • FlashFXP
   • MSN Messenger
   • OutlookExpress
   • UnrealIRCD
   • World Of Warcraft
   • Steam
   • Conquer Online
   • Unreal3

– Une routine de journalisation est commencé après que la chaîne de caractères suivante soit tapée:
   • paypal

– Il capture:
    • Frappes de touche

– Une routine de journalisation est commencé après qu'un site web soit visité.
   • paypal.com

– Il capture:
    • Frappes de touche
    • Information du compte

 Informations divers Mutex:


Il crée le Mutex suivant:
   • dcf7d2f7071938ba83b50c70eedd5ceb8984

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Monica Ghitun le mercredi 7 novembre 2007
Description mise à jour par Monica Ghitun le jeudi 8 novembre 2007

Retour . . . .