Nome del virus:Worm/IRCBot.EX
Scoperto:19/08/2005
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:8.275 Byte
Somma di controllo MD5:38b3ca593642abdf5a1cfe9183040ca6
Versione VDF:6.31.1.150

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.ex


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %WINDIR%\ssl.exe



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%WINDIR%\debug\dcpromo.log

 Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– HKLM\system\currentcontrolset\services\ssl
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "DisplayName"="Microsoft SSL"
   • "ObjectName"="LocalSystem"
   • "Description"="Provides communication security between clients and servers over TCP. If this service is stopped, TCP security between clients and servers on the network will be impaired. If this service is disabled, any services that explicitly depend on it will fail to"

– HKLM\system\currentcontrolset\services\ssl\Enum
   • "0"="Root\\LEGACY_SSL\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\system\currentcontrolset\enum\root\legacy_ssl
   • "NextInstance"=dword:00000001

– HKLM\system\currentcontrolset\enum\root\legacy_ssl\0000
   • "Service"="ssl"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Microsoft SSL"

– HKLM\system\currentcontrolset\enum\root\legacy_ssl\0000\Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="ssl"

– HKLM\system\currentcontrolset\services\ssl
   • "ImagePath"= %WINDIR%\ssl.exe

– HKLM\system\currentcontrolset\services\ssl
   • "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,74,00,20,\
      00,01,00,00,00,00,00,00,00

– HKLM\system\currentcontrolset\services\ssl\Security
   • "Security"=%WINDIR%\ssl.exe



Vengono cambiate le seguenti chiavi di registro:

– HKLM\system\controlset001\control\servicecurrent
   Valore precedente:
   • @=dword:%impostazioni definite dell'utente%
   Nuovo valore:
   • @=dword:0000000e

– HKLM\software\microsoft\ole
   Valore precedente:
   • "EnableDCOM"="%impostazioni definite dell'utente%"
   Nuovo valore:
   • "EnableDCOM"="n"

– HKLM\system\currentcontrolset\control\lsa
   Valore precedente:
   • "restrictanonymous"=dword:%impostazioni definite dell'utente%
   Nuovo valore:
   • "restrictanonymous"=dword:00000001

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Exploit:
Sfrutta la seguente vulnerabilità:
– MS04-011 (LSASS Vulnerability)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali e prova a stabilire una connessione.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: **********.wallloan.com
Porta: 18067
Canale: #p5
Nickname: p5-<%stringa di caratteri casuale%>
Password: wolnqjnr


– In più ha la capacità di effettuare azioni quali:
    • Download di file
    • Eseguire file
    • Eseguire un attacco DdoS
    • Effettuare scansione della rete
    • Aggiornarsi

Descrizione inserita da Sergiu Oprea su venerdì 26 agosto 2005
Descrizione aggiornata da Sergiu Oprea su martedì 30 agosto 2005

Indietro . . . .