Nome del virus:Worm/Rbot.173568.9
Scoperto:27/09/2005
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:173.568 Byte
Somma di controllo MD5:d89437c84655fa333fdf5b5b37cb29cc
Versione VDF:6.32.0.45

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Mcafee: W32/Sdbot.worm.gen.w
   •  TrendMicro: WORM_RBOT.CIZ
   •  F-Secure: W32/Banker.EVW
   •  VirusBuster: Worm.RBot.CNF
   •  Bitdefender: Backdoor.RBot.BAR


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Clona un file “maligno”
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\xpjava.exe



Viene creato il seguente file:

%SYSDIR%\msdirectx.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Spy.Agent.dg.2.B

 Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\msdirectx]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000001
     "ImagePath"=\??\%SYSDIR%\msdirectx.sys
     "DisplayName"="msdirectx"

– [HKLM\SYSTEM\CurrentControlSet\Services\msdirectx\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

– [HKLM\SYSTEM\CurrentControlSet\Services\msdirectx\Enum]
   • "0"="Root\\LEGACY_MSDIRECTX\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "Userinit"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Userinit"="userinit.exe,xpjava.exe"

– [HKLM\SOFTWARE\Microsoft\Ole]
   Valore precedente:
   • "EnableDCOM"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valore precedente:
   • "restrictanonymous"=%impostazioni definite dell'utente%
     "restrictanonymoussam"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "restrictanonymous"=dword:00000001
     "restrictanonymoussam"=dword:00000001

 “Infezione” della rete Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

– La seguente lista di Nomi Utente:
   • oracle; database; default; guest; wwwadmin; teacher; student; owner;
      computer; staff; admin; admins; administrat; administrateur;
      administrador; administrator

– La seguente lista di Password:
   • qwerty; server; system; changeme; linux; 1234567890; 123456789;
      12345678; 1234567; 123456; 12345; pass1234; passwd; password;
      password1



Exploit:
Sfrutta le seguenti vulnerabilità:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)


Processo virale:
Crea uno script TFTP o FTP sulla macchina compromessa per scaricare il malware nella posizione remota.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: g0d.**********.n0t.ex1st.net
Porta: 8249
Password del server: st4y4w4y
Canale: #.kimochi3
Nickname: Roo-San|%stringa casuale di sette caratteri%
Password: kimochi



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Velocità della CPU
    • Utente corrente
    • Dettagli sui driver
    • Spazio libero su disco
    • Memoria libera
    • Uptime del malware
    • Informazioni sulla rete
    • ID della piattaforma
    • Informazioni sui processi in corso
    • Dimensione della memoria
    • Directory di sistema
    • Nome Utente
    • Directory di Windows


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • Lanciare un attacco DdoS ICMP
    • Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS TCP
    • Lancia un attacco DdoS UDP
    • Disattivare DCOM
    • Disattivare le condivisioni di rete
    • disconnettere dal server IRC
    • Download di file
    • Attivare DCOM
    • Attivare le condivisioni di rete
    • Eseguire file
    • Connettersi al canale IRC
    • Terminare il processo
    • Abbandonare il canale IRC
    • Aprire condivisione remota
    • Eseguire un attacco DdoS
    • Effettuare scansione della rete
    • Registrare un servizio
    • Riavviare il sistema
    • Inviare email
    • Arrestare il sistema
    • Iniziare procedura di diffusione
    • Terminare il malware
    • Terminare il processo
    • Aggiornarsi
    • Carica un file
    • Visitare un sito web

 Tecnologia Rootkit È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.


Nasconde il seguente:
– I propri processi

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • PE-Crypt.AntiDeb

Descrizione inserita da Razvan Olteanu su lunedì 3 ottobre 2005
Descrizione aggiornata da Razvan Olteanu su giovedì 6 ottobre 2005

Indietro . . . .