Nome del virus:Worm/Aimbot.158720
Scoperto:08/09/2005
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:158.720 Byte
Somma di controllo MD5:82B7C1BCD80C7B8D07DF6B1D005EBEB1
Versione VDF:6.31.01.134

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Mcafee: W32/Spybot.worm.gen.o
   •  Kaspersky: Trojan.Win32.Pakes
   •  TrendMicro: WORM_AGOBOT.AVX
   •  Bitdefender: Trojan.Pakes.Y


Piattaforme / Sistemi operativi:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Sfrutta la vulnerabilità del software
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %SYSDIR%\Internet.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Micrcoft Updat"="Internet.exe"



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\OLE]
   • "Micrcoft Updat"="Internet.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Micrcoft Updat"="Internet.exe"

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
   • IPC$
   • ADMIN$
   • C$


Exploit:
Sfrutta le seguenti vulnerabilità:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene il primo ottetto dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.


Processo virale:
Crea uno script TFTP sulla macchina compromessa per scaricare il malware nella posizione remota.


Rallentamento:
– Crea il seguente numero di thread “infetti”: 300
– In funzione della larghezza di banda potrebbe verificarsi un leggero rallentamento nella velocità della rete. Si potrebbe comunque non notarlo nel caso in cui il livello di attività di rete per questo malware risulti basso.
– Inoltre si potrebbe notare un leggero rallentamento dovuto ai multipli thread di rete creati.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: fuckrx.**********end.net
Porta: 2001
Canale: #MoTjWeL# moting
Nickname: [%stringa di caratteri casuale%]|%stringa casuale di cinque caratteri%



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Immagine “catturata” dallo schermo
    • Immagine “catturata” dalla webcam
    • Velocità della CPU
    • Utente corrente
    • Spazio libero su disco
    • Memoria libera
    • Dimensione della memoria
    • Directory di sistema
    • Nome Utente
    • Directory di Windows


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • Lanciare un attacco DdoS ICMP
    • Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS TCP
    • Lancia un attacco DdoS UDP
    • Connettersi al canale IRC
    • Abbandonare il canale IRC
    • Effettuare scansione della rete

 Backdoor Le seguenti porte sono aperte:

%SYSDIR%\Internet.exe su una porta TCP casuale con lo scopo di procurarsi un server FTP.
%SYSDIR%\Internet.exe sulla porta UDP 69 con lo scopo di procurarsi un server TFTP.

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Windows Product ID

– Le seguenti chiavi CD:
   • Neverwinter Nights (Hordes of the Underdark); Neverwinter Nights
      (Shadows of Undrentide); Neverwinter Nights"; Soldier of Fortune II -
      Double Helix; Hidden & Dangerous 2; Chrome; NOX; Command and Conquer:
      Red Alert 2; Command and Conquer: Tiberian Sun; Rainbow Six III
      RavenShield; Nascar Racing 2003; Nascar Racing 2002; NHL 2003; NHL
      2002; FIFA 2003; FIFA 2002; Shogun: Total War: Warlord Edition; Need
      For Speed: Underground; Need For Speed Hot Pursuit 2; Medal of Honor:
      Allied Assault: Spearhead; Medal of Honor: Allied Assault:
      Breakthrough; Medal of Honor: Allied Assault; Command and Conquer:
      Generals; James Bond 007: Nightfire; Command and Conquer: Generals
      (Zero Hour); Black and White; Battlefield Vietnam; Battlefield 1942
      (Secret Weapons of WWII); Battlefield 1942 (Road To Rome); Battlefield
      1942; Freedom Force; IGI 2: Covert Strike; Unreal Tournament 2004;
      Unreal Tournament 2003; Soldiers Of Anarchy; Legends of Might and
      Magic; Industry Giant 2; Half-Life; Gunman Chronicles; The Gladiators;
      Counter-Strike (Retail)

– Utilizza uno sniffer di rete che verifica la presenza delle seguenti stringhe:
   • : auth; : login; :!auth; :!hashin; :!login; :!secure; :!syn; :$auth;
      :$hashin; :$login; :$syn; :%auth; :%hashin; :%login; :%syn; :&auth;
      :&login; : auth; : login; :,auth; :,login; :.auth; :.hashin; :.login;
      :.secure; :.syn; :/auth; :/login; :?auth; :?login; :@auth; :@login;
      :\auth; :\login; :~auth; :~login; :+auth; :+login; :=auth; :=login;
      :'auth; :-auth; :'login; :-login; paypal; PAYPAL; paypal.com;
      PAYPAL.COM

 Varie Mutex:
Crea il seguente Mutex:
   • [MoTjWeL]

Descrizione inserita da Dragos Tomescu su giovedì 8 settembre 2005
Descrizione aggiornata da Oliver Auerbach su giovedì 13 aprile 2006

Indietro . . . .