Nome del virus:Worm/RB.101376.14.B
Scoperto:15/08/2005
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:101.376 Byte
Somma di controllo MD5:ff9b652337043bb7e46f94e50284204f
Versione VDF:6.31.1.110

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Symantec: W32.Spybot.Worm
   •  Mcafee: W32/Sdbot.worm.gen.h
   •  Kaspersky: Backdoor.Win32.Rbot.gen
   •  TrendMicro: WORM_RBOT.CDS
   •  F-Secure: W32/Backdoor.EXW
   •  VirusBuster: Worm.RBot.CEK
   •  Bitdefender: Backdoor.SDBot.054EA1A5


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Scarica file “maligni”
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\MSLSA32.exe



Cancella la copia di se stesso eseguita inizialmente.

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Exploit:
Sfrutta le seguenti vulnerabilità:
– MS04-011 (LSASS Vulnerability)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali e prova a stabilire una connessione.


Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: ns1.gol**********.com.ar
Porta: 65053
Password del server: PASS
Canale: #g-scan#
Nickname: [0]USA|%stringa casuale di due caratteri%
Password: argrulex

Server: ns1.gol**********.com.ar
Porta: 65053
Password del server: PASS
Canale: #g-down1#
Nickname: [0]USA|%stringa casuale di due caratteri%
Password: argrulex

Server: ns1.gol**********.com.ar
Porta: 65080
Password del server: PASS
Canale: #g-down2#
Nickname: [0]USA|%stringa casuale di due caratteri%
Password: argrulex



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Velocità della CPU
    • Utente corrente
    • Spazio libero su disco
    • Memoria libera
    • Uptime del malware
    • Informazioni sulla rete
    • Dimensione della memoria
    • Directory di sistema


– In più ha la capacità di effettuare azioni quali:
    • Download di file
    • Connettersi al canale IRC
    • Terminare il processo
    • Abbandonare il canale IRC

 Varie Mutex:
Crea il seguente Mutex:
   • st@ch3ndr4th-l4st-v3r

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • ASPack 2.12

Descrizione inserita da Victor Tone su giovedì 25 agosto 2005
Descrizione aggiornata da Victor Tone su lunedì 29 agosto 2005

Indietro . . . .