Descrizione completa

Nome del virus:	TR/IRCBot.LZ.4
Scoperto:	26/09/2005
Tipo:	Trojan
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	83.436 Byte
Somma di controllo MD5:	f110d9ac3ed4e96d3d25db7a5d93d99d
Versione VDF:	6.32.0.44

Generale Metodo di propagazione:
   • Rete locale

Alias:
   • Symantec: Backdoor.Sdbot
   • Kaspersky: Backdoor.Win32.Agobot.afp
   • TrendMicro: WORM_SDBOT.CHG
   • F-Secure: W32/Sdbot.MBM
   • VirusBuster: Worm.SdBot.BJL
   • Bitdefender: Backdoor.RBot.CBS

Piattaforme / Sistemi operativi:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Duplica file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

File Si copia alla seguente posizione:
   • %SYSDIR%\winsvc32.exe

Cancella la copia di se stesso eseguita inizialmente.

Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %TEMPDIR%\oo.reg
   • c:\a.bat

Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Services"="winsvc32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows Services"="winsvc32.exe"

Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
   • "AllowUnqualifiedQuery"=dword:00000000
   • "PrioritizeRecordData"=dword:00000001
   • "TCP1320Opts"=dword:00000003
   • "KeepAliveTime"=dword:00023280
   • "BcastQueryTimeout"=dword:000002ee
   • "BcastNameQueryCount"=dword:00000001
   • "CacheTimeout"=dword:0000ea60
   • "Size/Small/Medium/Large"=dword:00000003
   • "LargeBufferSize"=dword:00001000
   • "SynAckProtect"=dword:00000002
   • "PerformRouterDiscovery"=dword:00000000
   • "EnablePMTUBHDetect"=dword:00000000
   • "FastSendDatagramThreshold "=dword:00000400
   • "StandardAddressLength "=dword:00000018
   • "DefaultReceiveWindow "=dword:00004000
   • "DefaultSendWindow"=dword:00004000
   • "BufferMultiplier"=dword:00000200
   • "PriorityBoost"=dword:00000002
   • "IrpStackSize"=dword:00000004
   • "IgnorePushBitOnReceives"=dword:00000000
   • "DisableAddressSharing"=dword:00000000
   • "AllowUserRawAccess"=dword:00000000
   • "DisableRawSecurity"=dword:00000000
   • "DynamicBacklogGrowthDelta"=dword:00000032
   • "FastCopyReceiveThreshold"=dword:00000400
   • "LargeBufferListDepth"=dword:0000000a
   • "MaxActiveTransmitFileCount"=dword:00000002
   • "MaxFastTransmit"=dword:00000040
   • "OverheadChargeGranularity"=dword:00000001
   • "SmallBufferListDepth"=dword:00000020
   • "SmallerBufferSize"=dword:00000080
   • "TransmitWorker"=dword:00000020
   • "DNSQueryTimeouts" =hex(7):31,00,00,00,32,00,00,00,32,00,00,00,34,00,00,00,38,00,00,00,30,00,00,00,00,00
   • "DefaultRegistrationTTL"=dword:00000014
   • "DisableReplaceAddressesInConflicts"=dword:00000000
   • "DisableReverseAddressRegistrations"=dword:00000001
   • "UpdateSecurityLevel "=dword:00000000
   • "DisjointNameSpace"=dword:00000001
   • "QueryIpMatching"=dword:00000000
   • "NoNameReleaseOnDemand"=dword:00000001
   • "EnableDeadGWDetect"=dword:00000000
   • "EnableFastRouteLookup"=dword:00000001
   • "MaxFreeTcbs"=dword:000007d0
   • "MaxHashTableSize"=dword:00000800
   • "SackOpts"=dword:00000001
   • "Tcp1323Opts"=dword:00000003
   • "TcpMaxDupAcks"=dword:00000001
   • "TcpRecvSegmentSize"=dword:00000585
   • "TcpSendSegmentSize"=dword:00000585
   • "TcpWindowSize"=dword:0007d200
   • "DefaultTTL"=dword:00000030
   • "TcpMaxHalfOpen"=dword:0000004b
   • "TcpMaxHalfOpenRetried"=dword:00000050
   • "TcpTimedWaitDelay"=dword:00000000
   • "MaxNormLookupMemory"=dword:00030d40
   • "FFPControlFlags"=dword:00000001
   • "FFPFastForwardingCacheSize"=dword:00030d40
   • "MaxForwardBufferMemory"=dword:00019df7
   • "MaxFreeTWTcbs"=dword:000007d0
   • "GlobalMaxTcpWindowSize"=dword:0007d200
   • "EnablePMTUDiscovery"=dword:00000001
   • "ForwardBufferMemory"=dword:00019df7

Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
   Valore precedente:
   • "TransportBindName"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "TransportBindName"=""

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valore precedente:
   • "Start"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Valore precedente:
   • "Start"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\ControlSet001\Services\wscsvc]
   Valore precedente:
   • "Start"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valore precedente:
   • "restrictanonymous"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "restrictanonymous"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\
   Protocols\PCT1.0\Server]
   Valore precedente:
   • "Enabled"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Enabled"=hex:00

– [HKLM\SOFTWARE\Microsoft\Ole]
   Valore precedente:
   • "EnableDCOM"="%impostazioni definite dell'utente%
     "EnableRemoteConnect"="%impostazioni definite dell'utente%
   Nuovo valore:
   • "EnableDCOM"="N"
     "EnableRemoteConnect"="N"


– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   Valore precedente:
   • "AutoShareWks"=%impostazioni definite dell'utente%
     "AutoShareServer"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "AutoShareWks"=dword:00000000
     "AutoShareServer"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
   Valore precedente:
   • "NameServer"=""%impostazioni definite dell'utente%
     "ForwardBroadcasts"=%impostazioni definite dell'utente%
     "IPEnableRouter"=%impostazioni definite dell'utente%
     "Domain"=%impostazioni definite dell'utente%
     "SearchList"=%impostazioni definite dell'utente%
     "UseDomainNameDevolution"=%impostazioni definite dell'utente%
     "EnableICMPRedirect"=%impostazioni definite dell'utente%
     "DeadGWDetectDefault"=%impostazioni definite dell'utente%
     "DontAddDefaultGatewayDefault"=%impostazioni definite dell'utente%
     "EnableSecurityFilters"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "NameServer"=""
     "ForwardBroadcasts"=dword:00000000
     "IPEnableRouter"=dword:00000000
     "Domain"=""
     "SearchList"=""
     "UseDomainNameDevolution"=dword:00000001
     "EnableICMPRedirect"=dword:00000000
     "DeadGWDetectDefault"=dword:00000001
     "DontAddDefaultGatewayDefault"=dword:00000000
     "EnableSecurityFilters"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Valore precedente:
   • "MaxConnectionsPer1_0Server"=%impostazioni definite dell'utente%
     "MaxConnectionsPerServer"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "MaxConnectionsPer1_0Server"=dword:00000050
     "MaxConnectionsPerServer"=dword:00000050

“Infezione” della rete Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

– La seguente lista di Nomi Utente:
   • administrator; administrador; administrateur; administrat; admins;
      admin; staff; computer; owner; student; teacher; wwwadmin; guest;
      default; database; oracle; linux; admin; ADMIN; Admin; admin123;
      Administrador; Administrateur; administrator; ADMINISTRATOR;
      Administrator; guest; Guest; default; DEFAULT; Default; LOCAL

– La seguente lista di Password:
   • password; PASSWORD; Password; system; SYSTEM; GUEST; ADMIN; PASSWORD;
      SHARE; WRITE; FILES; ACCESS; BACKUP; SYSTEM; SERVER; LOCAL; passwd;
      database; abc123; xxxxx; xxxxxx; xxxxxxx; xxxxxxxx; xxxxxxxxx; 00000;
      000000

IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: 152.23.204.55
Porta: 4891
Canale: #update
Nickname: USA-%stringa casuale di cinque caratteri%
Password: w32z

– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Immagine “catturata” dallo schermo
    • Immagine “catturata” dalla webcam
    • Velocità della CPU
    • Utente corrente
    • Spazio libero su disco
    • Memoria libera
    • Informazioni sulla rete
    • Informazioni sui processi in corso
    • Dimensione della memoria
    • Nome Utente

– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • Lanciare un attacco DdoS ICMP
    • Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS TCP
    • Lancia un attacco DdoS UDP
    • Disattivare DCOM
    • Disattivare le condivisioni di rete
    • disconnettere dal server IRC
    • Download di file
    • Attivare DCOM
    • Attivare le condivisioni di rete
    • Eseguire file
    • Connettersi al canale IRC
    • Abbandonare il canale IRC
    • Aprire condivisione remota
    • Eseguire un attacco DdoS
    • Effettuare scansione della rete
    • Effettuare un reindirizzamento delle porte
    • Inizia keylog
    • Terminare il malware
    • Terminare il processo
    • Aggiornarsi
    • Carica un file

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Windows Product ID

– Le seguenti chiavi CD:
   • Counter-Strike (Retail); The Gladiators; Gunman Chronicles; Half-Life;
      Industry Giant 2; Legends of Might and Magic; Soldiers Of Anarchy;
      Unreal Tournament 2003; Unreal Tournament 2004; IGI 2: Covert Strike;
      Freedom Force; Battlefield 1942; Battlefield 1942 (Road To Rome);
      Battlefield 1942 (Secret Weapons of WWII); Battlefield Vietnam; Black
      and White; Command and Conquer: Generals (Zero Hour); James Bond 007:
      Nightfire; Command and Conquer: Generals; Global Operations; Medal of
      Honor: Allied Assault; Medal of Honor: Allied Assault: Breakthrough;
      Medal of Honor: Allied Assault: Spearhead; Need For Speed Hot Pursuit
      2; Need For Speed: Underground; Shogun: Total War: Warlord Edition;
      FIFA 2002; FIFA 2003; NHL 2002; NHL 2003; Nascar Racing 2002; Nascar
      Racing 2003; Rainbow Six III RavenShield; Command and Conquer:
      Tiberian Sun; Command and Conquer: Red Alert; Command and Conquer: Red
      Alert 2; NOX; Chrome; Hidden & Dangerous 2; Soldier of Fortune II -
      Double Helix; Neverwinter Nights; Neverwinter Nights (Shadows of
      Undrentide); Neverwinter Nights (Hordes of the Underdark)

– La password dal seguente programma:
   • winlogon

– Dopo aver visitato un sito web, che nel suo URL contiene una delle seguenti sottostringhe, viene avviata una procedura di “tracciamento”:
   • paypal
   • PAYPAL
   • paypal.com
   • PAYPAL.COM

– Cattura:
    • Battute di tastiera
    • Informazioni di login

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• PE Pack

Descrizione inserita da Razvan Olteanu su martedì 27 settembre 2005
Descrizione aggiornata da Razvan Olteanu su venerdì 30 settembre 2005

Indietro . . . .