Worm/Agobot.agw.1 - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/Agobot.agw.1
La date de la découverte:	08/03/2006
Type:	Ver
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	85.291 Octets
Somme de contrôle MD5:	c57ee618f1c7445a66064d87f506662e

Général Méthodes de propagation:
   • Le réseau local

Les alias:
   • Kaspersky: Backdoor.Win32.Agobot.agw
   • TrendMicro: WORM_AGOBOT.BBR

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\mssvcc.exe

Il supprime sa propre copie, exécutée initialement

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "msconfig38"="mssvcc.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "msconfig38"="mssvcc.exe"

Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Ole]
   L'ancienne valeur:
   • "EnableDCOM"="%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   L'ancienne valeur:
   • "restrictanonymous"=dword:%réglages définis par l'utilisateur%
     "restrictanonymoussam"=dword:%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001
     "restrictanonymoussam"=dword:00000001

Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • IPC$
   • C$
   • ADMIN$

Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– La liste suivante de noms d'utilisateurs:
   • adm; admin; administrador; administrat; administrateur; administrator;
      admins; computer; database; db2; dba; default; guest; oracle; owner;
      root; staff; student; teacher; wwwadmin

– La liste suivante de mots de passe:
   • 007; 123; 1234; 12345; 123456; 1234567; 12345678; 123456789;
      1234567890; 2000; 2001; 2002; 2003; 2004; access; accounting;
      accounts; asd; backup; bill; bitch; blank; bob; brian; changeme;
      chris; cisco; compaq; control; data; databasepass; databasepassword;
      db1; db1234; db2; dbpass; dbpassword; default; dell; demo; domain;
      domainpass; domainpassword; eric; exchange; fred; fuck; george; god;
      guest; hell; hello; home; homeuser; ian; ibm; internet; intranet; jen;
      joe; john; kate; katie; lan; lee; linux; login; loginpass; luke; mail;
      main; mary; mike; neil; nokia; none; null; oem; oeminstall; oemuser;
      office; orainstall; outlook; pass; pass1234; passwd; password;
      password1; peter; pwd; qaz; qwe; qwerty; root; sam; server; sex;
      siemens; slut; sql; sqlpassoainstall; sue; susan; system; technical;
      test; unix; user; web; win2000; win2k; win98; windows; winnt; winpass;
      winxp; www; zxc

La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.

Le processus d'infection:
Crée un script TFTP ou FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: **********.slateit1703.info
Port: 8080
Canal: #final,#finaldownload
Pseudonyme: USA|%chaîne de caractères aléatoire de six digits%
Mot de passe: he.he

Serveur: **********.3071tietals.info
Port: 8080
Canal: #final,#finaldownload
Pseudonyme: USA|%chaîne de caractères aléatoire de six digits%
Mot de passe: he.he

– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Détails sur les pilots
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Taille de mémoire
    • Information sur le système d'exploitation Windows

– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • Désactiver DCOM
    • Désactiver les partages réseau
    • se déconnecter du serveur IRC
    • Télécharger un fichier
    • Activer DCOM
    • Activer les partages réseau
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande à distance
    • Scanner le réseau
    • Redémarrer le système
    • Démarrer une routine de propagation
    • Terminer le Malware
    • Se mettre à jour tout seul
    • Charger un fichier

Porte dérobée Le port suivant est ouvert:

– mssvcc.exe sur le port UDP 69 afin de fournir un serveur TFTP.

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Wed, 08 Mar 2006 16:32 (GMT+1)
Description mise à jour par Iulia Diaconescu sur Wed, 22 Mar 2006 11:56 (GMT+1)

» À propos des logiciels malveillants
» À propos de l'hameçonnage
» Virus "in the Wild"

« Retour