Description complète

Nom:	Worm/Kolabc.WN
La date de la découverte:	23/04/2008
Type:	Ver
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	52.624 Octets
Somme de contrôle MD5:	65cf5d3bc5efd0d4ffcf83bfb59ba33b
Version VDF:	7.00.03.203

Général Méthodes de propagation:
   • Le réseau local
   • Mapped network drives

Les alias:
   • Symantec: W32.IRCbot
   • Mcafee: Puper
   • Kaspersky: Net-Worm.Win32.Kolabc.wn
   • F-Secure: Net-Worm.Win32.Kolabc.wn
   • Panda: W32/Sdbot.LUQ.worm
   • VirusBuster: Worm.Poebot.OA
   • Eset: Win32/Poebot.NBF
   • Bitdefender: Backdoor.IRCBot.ACGJ

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il crée sa propre copie en employant un nom de fichier d'une liste:
– A: %SYSDIR%\ employant un des noms suivants:
   • winamp.exe
   • winIogon.exe
   • firewall.exe
   • spooIsv.exe
   • spoolsvc.exe
   • Isass.exe
   • lssas.exe
   • algs.exe
   • logon.exe
   • iexplore.exe

Le fichier suivant est créé:

– %le dossier d'exécution du malware%:\%chaîne de caractères aléatoire de cinq digits%.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://alwayssam**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\%chaîne de caractères aléatoire%.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://alwayssam**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\%chaîne de caractères aléatoire%.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://alwayssam**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\%chaîne de caractères aléatoire%.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://zonetech**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\%chaîne de caractères aléatoire%.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Ce fichier séquentiel est employé pour effacer un fichier.

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Windows Network Firewall="%SYSDIR%\firewall.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Winamp Agent"="%SYSDIR%\winamp.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Spooler SubSystem App"="%SYSDIR%\spoolsvc.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Logon Application"="%SYSDIR%\winIogon.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Logon Application"="%SYSDIR%\logon.exe"

Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • IPC$
   • print$
   • C$\Documents and Settings\All Users\Documents\$
   • admin$
   • Admin$\system32
   • c$\windows\system32
   • c$\winnt\system32
   • c$\windows
   • c$\winnt
   • e$\shared
   • d$\shared
   • c$\shared

Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– La liste suivante de noms d'utilisateurs:
   • staff; teacher; owner; student; intranet; lan; main; office; control;
      siemens; compaq; dell; cisco; ibm; oracle; sql; data; access;
      database; domain; god; backup; technical; mary; katie; kate; george;
      eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
      luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
      user; homeuser; home; internet; www; web; root; server; linux; unix;
      computer; adm; admin; admins; administrat; administrateur;
      administrador; administrator

– La liste suivante de mots de passe:
   • winpass; blank; nokia; orainstall; sqlpassoainstall; databasepassword;
      databasepass; dbpassword; dbpass; domainpassword; domainpass; hello;
      hell; love; money; slut; bitch; fuck; exchange; loginpass; login; qwe;
      zxc; asd; qaz; win2000; winnt; winxp; win2k; win98; windows;
      oeminstall; oem; accounting; accounts; letmein; sex; outlook; mail;
      qwerty; temp123; temp; null; default; changeme; demo; test; secret;
      payday; deadline; work; pwd; pass; pass1234; dba; passwd; password;
      password1

Le processus d'infection:
Crée un script TFTP ou FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: hub.54**********
Port: 1863
Canal: #las6;#rs2;#fox;# 63;# kok6
Pseudonyme: Cyzuzeof
Mot de passe: stseelkvyyrucnss

Serveur: xx.ka3**********
Port: 5190
Canal: #las6;#rs2;#fox;# 63;# kok6
Pseudonyme: Cyzuzeof

Serveur: p.ircs**********
Port: 8080
Canal: #las6;#rs2;#fox;# 63;# kok6
Pseudonyme: Cyzuzeof

Serveur: n.ircs**********
Port: 5555
Canal: #las6;#rs2;#fox;# 63;# kok6
Pseudonyme: Cyzuzeof

Serveur: xx.sql**********
Port: 7000
Canal: las6;#rs2;#fox;# 63;# kok6
Pseudonyme: Cyzuzeof

– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows

– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • se déconnecter du serveur IRC
    • Joindre le canal IRC
    • Quitter la canal IRC
    • Charger un fichier

Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'
– Les mots de passe employés par la fonction AutoComplete

– Les mots de passe des programmes suivants:
   • UnrealIRCD
   • Steam
   • World Of Warcraft
   • Conquer Online

– il emploie un analyseur de réseau qui vérifie la chaîne de caractères suivante :
   • irc operator; paypal; paypal.com; cd key; cd-key; cdkey; passwort;
      auth; sxt; login; pass=; login=; password=; username=; passwd=; :auth;
      identify; oper; MailPass; pass; unknown; user

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• WinUpack

Description insérée par Alexandru Dinu le mercredi 30 juillet 2008
Description mise à jour par Alexandru Dinu le mercredi 30 juillet 2008

Retour . . . .