Nome del virus:Worm/RBot.95232.11
Scoperto:07/11/2005
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:102.400 Byte
Somma di controllo MD5:413d96683e25a52cf18a037b51436799
Versione VDF:6.31.00.186

 Generale Metodi di propagazione:
   • Rete locale
   • Unità di rete mappata


Alias:
   •  Kaspersky: Backdoor.Win32.Rbot.ul
   •  TrendMicro: WORM_RBOT.BUC
   •  Sophos: W32/Rbot-AHT
   •  Grisoft: IRC/BackDoor.SdBot.EGY
   •  Bitdefender: Backdoor.RBot.48E6FF12


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Abbassa le impostazioni di sicurezza
   • Registra le battute di tastiera
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\service.exe



Cancella la copia di se stesso eseguita inizialmente.

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %TEMPDIR%\1.reg
   • %root del drive di sistema%\a.bat

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Registry Value Name"="service.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Registry Value Name"="service.exe"



Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\OLE]
   • "Registry Value Name"="service.exe"
   • "EnableRemoteConnect"="N"

– [HKLM\SYSTEM\ControlSet001\Services\wscsvc]
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\
   Protocols\PCT1.0\Server]
   • "Enabled"=hex:00

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "MaxConnectionsPer1_0Server"=dword:00000050
   • "MaxConnectionsPerServer"=dword:00000050

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
   • "AllowUnqualifiedQuery"=dword:00000000
   • "PrioritizeRecordData"=dword:00000001
   • "TCP1320Opts"=dword:00000003
   • "KeepAliveTime"=dword:00023280
   • "BcastQueryTimeout"=dword:000002ee
   • "BcastNameQueryCount"=dword:00000001
   • "CacheTimeout"=dword:0000ea60
   • "Size/Small/Medium/Large"=dword:00000003
   • "LargeBufferSize"=dword:00001000
   • "SynAckProtect"=dword:00000002
   • "PerformRouterDiscovery"=dword:00000000
   • "EnablePMTUBHDetect"=dword:00000000
   • "FastSendDatagramThreshold "=dword:00000400
   • "StandardAddressLength "=dword:00000018
   • "DefaultReceiveWindow "=dword:00004000
   • "DefaultSendWindow"=dword:00004000
   • "BufferMultiplier"=dword:00000200
   • "PriorityBoost"=dword:00000002
   • "IrpStackSize"=dword:00000004
   • "IgnorePushBitOnReceives"=dword:00000000
   • "DisableAddressSharing"=dword:00000000
   • "AllowUserRawAccess"=dword:00000000
   • "DisableRawSecurity"=dword:00000000
   • "DynamicBacklogGrowthDelta"=dword:00000032
   • "FastCopyReceiveThreshold"=dword:00000400
   • "LargeBufferListDepth"=dword:0000000a
   • "MaxActiveTransmitFileCount"=dword:00000002
   • "MaxFastTransmit"=dword:00000040
   • "OverheadChargeGranularity"=dword:00000001
   • "SmallBufferListDepth"=dword:00000020
   • "SmallerBufferSize"=dword:00000080
   • "TransmitWorker"=dword:00000020
   • "DNSQueryTimeouts" =1 2 2 4 8 0
   • "DefaultRegistrationTTL"=dword:00000014
   • "DisableReplaceAddressesInConflicts"=dword:00000000
   • "DisableReverseAddressRegistrations"=dword:00000001
   • "UpdateSecurityLevel "=dword:00000000
   • "DisjointNameSpace"=dword:00000001
   • "QueryIpMatching"=dword:00000000
   • "NoNameReleaseOnDemand"=dword:00000001
   • "EnableDeadGWDetect"=dword:00000000
   • "EnableFastRouteLookup"=dword:00000001
   • "MaxFreeTcbs"=dword:000007d0
   • "MaxHashTableSize"=dword:00000800
   • "SackOpts"=dword:00000001
   • "Tcp1323Opts"=dword:00000003
   • "TcpMaxDupAcks"=dword:00000001
   • "TcpRecvSegmentSize"=dword:00000585
   • "TcpSendSegmentSize"=dword:00000585
   • "DefaultTTL"=dword:00000030
   • "TcpMaxHalfOpen"=dword:0000004b
   • "TcpMaxHalfOpenRetried"=dword:00000050
   • "TcpTimedWaitDelay"=dword:00000000
   • "MaxNormLookupMemory"=dword:00030d40
   • "FFPControlFlags"=dword:00000001
   • "FFPFastForwardingCacheSize"=dword:00030d40
   • "MaxForwardBufferMemory"=dword:00019df7
   • "MaxFreeTWTcbs"=dword:000007d0
   • "GlobalMaxTcpWindowSize"=dword:0007d200
   • "EnablePMTUDiscovery"=dword:00000001
   • "ForwardBufferMemory"=dword:00019df7



Vengono cambiate le seguenti chiavi di registro:

Disattiva il firewall di Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
   Valore precedente:
   • "TransportBindName"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "TransportBindName"=""

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valore precedente:
   • "Start"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Valore precedente:
   • "Start"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start"=dword:00000004

– [HKLM\SOFTWARE\Microsoft\Ole]
   Valore precedente:
   • "EnableDCOM"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valore precedente:
   • "restrictanonymous"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "restrictanonymous"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
   Valore precedente:
   • "EnableSecurityFilters"=%impostazioni definite dell'utente%
   • "TcpWindowSize"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "EnableSecurityFilters"=dword:00000001
   • "TcpWindowSize"=dword:0007d200

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
   • ADMIN$
   • IPC$
   • C$


Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

–Nomi Utente e Password presenti nella cache.

– La seguente lista di Password:
   • zimmerman; zap; yellowstone; xyz; wisconsin; williamsburg; wholesale;
      tty; topography; temptation; telephone; tangerine; sys; supported;
      superuser; superstage; sun; stuttgart; stratford; stephanie;
      signature; sheffield; sal; rochester; rje; rachmaninoff; pub;
      professor; princeton; pondering; polynomial; persimmon; percolate;
      pam; pad; oceanography; nutrition; new; net; mit; mgr; macintosh; liz;
      lee; lamination; kim; joy; jen; innocuous; imbroglio; ibm; happening;
      hal; gnu; fun; foresight; foolproof; extension; establish; enterprise;
      elizabeth; eiderdown; edinburgh; dos; dog; discovery; desperate; deb;
      cornelius; commrades; christine; christina; chemistry; catherine; cat;
      campanile; cad; bsd; bob; bicameral; beethoven; atmosphere; asm; asd;
      anthropogenic; ann; andromache; amy; amorphous; ama; alf; albatross;
      ada; h4x0ring; h4x0r1ng; h4x1ng; haxing; hax; wh0re; wh0r3; windoze95;
      windoze98; windozeME; windoze2k; windozexp; windows95; windows98;
      windowsME; windows2k; WindowsXP; billy; windose; windoze; windowz;
      wileecoyote; donaldduck; Alexander; Al3x; dud3; dudette; d00d; lol;
      RoscoPColtrane; RoscoP; Rosco; Ross; testin; tester; 00000000; zulu;
      zombie; zmodem; zimmerma; ziggy; zeitgeis; zebra; young; yosemite;
      yolanda; yellowst; yellow; yankee; yang; yaco; xyzzy; xray; xmodem;
      xmen; xman; xfer; xena; wyoming; wwii; wormwood; worm; work; worf;
      wordperf; word; woodwind; wood; women; wombat; woman; wolverin; wolf;
      wizard; within; wiseass; wisconsi; wired; winston; wing; wine;
      windows; wilma; willie; williams; william; will; whore; wholesal;
      whitney; whiting; white; whisky; whatnot; whatever; western; west;
      werewolf; wendy; wendi; well; weenie; weed; wednesda; webpage; wave;
      water; watchwor; wasp; warren; warp; wargames; warfare; warez; ward;
      waco; vodka; visualba; visual; visitor; virus; virginia; virgin;
      village; videogam; video; victor; vicky; vertigo; veronica; venus;
      vasant; vampire; valerie; vagina; uucp; utility; util; usmc; username;
      usermane; usenet; ursula; urchin; uranus; upload; unlock; unknown;
      universi; universe; universa; uniform; unicorn; unhappy; undo; uncle;
      umesh; ugly; tuttle; turn; tuesday; tubas; truth; true; tron;
      trombone; trojan; trivial; trisha; trek; tree; trapdoor; trap;
      transfer; trails; tracy; tracie; traci; toyota; toxic; tortoise;
      topograp; tomato; tokenrin; token; toggle; toad; tits; tina; time;
      tiger; tiffany; thursday; thin; theresa; thailand; text; tetris; tess;
      terminat; terminal; tera; tennis; temptati; telnet; telephon; teenage;
      teen; tech; tears; teapot; team; taylor; tarragon; target; tara; tape;
      tango; tangerin; tammy; tamie; tami; tamara; tall; talk; tabasco;
      sysop; sysadmin; symmetry; sybil; sword; switch; sweat; swearer;
      suzie; suzanne; susie; susanne; susan; surfing; surfer; supporte;
      support; supervis; superuse; supersta; superson; superman; sunday;
      summer; sucks; suckmydi; suck; success; subway; subscrib; stuttgar;
      strip; string; streetfi; stratfor; strangle; strange; stones; stoned;
      stoneage; steve; stereo; stephani; steph; steel; steal; steak;
      starwars; startup; startrek; start; starship; star; stacy; stacie;
      staci; stacey; sr71; squires; spunk; springer; spring; spred; spit;
      spiderma; spider; spice; spell; spear; sparrows; spaceshi; south;
      source; sossina; sonya; sonic; sonia; sondra; somebody; software;
      soft; sodomy; socrates; social; soap; snoopy; snatch; snake; snafu;
      snach; smut; smtp; smother; smooch; smiles; smile; smart; small; slut;
      slow; sliders; slick; slave; skull; site; single; singer; simulati;
      simpsons; simple; simon; simcity; silver; signatur; sierra; sick;
      shuttle; short; shivers; shiva; shitpot; shit; shirley; shift; sherri;
      shell; sheldon; sheffiel; sharon; sharks; shark; sharc; shannon; sexy;
      sesame; service; serial; serenity; sentry; sentinel; sensor; sega;
      seed; security; search; scout; scotty; scott; scorpion; scifi;
      schoolsucks; school; scheme; scamper; saxon; saturn; saturday; sarah;
      sara; sandy; sandra; sample; samantha; salt; sale; salami; safe; ruth;
      rush; running; rules; rude; ruby; ruben; rubber; rough; roses;
      rosemary; rosebud; rose; ronald; romulan; romeo; romano; rolex;
      rodent; rockyhor; rocky; rock; rocheste; rochelle; robyn; robotics;
      robot; robin; robert; roach; risc; ripple; riot; ring; rightwin;
      right; riffraff; rick; rich; rhino; reveal; resistan; republic;
      report; rent; reno; renee; remote; release; regional; referenc;
      redhead; reddawn; record; rebel; rebecca; rebal; reaper; ream; really;
      reality; reagan; razor; rascal; rape; raleigh; raindrop; rainbow;
      rain; raid; rachmani; rachelle; rachel; rabbit; qwerty; qwert; quebec;
      pussy; puppet; punk; punisher; puneet; pumpkin; puke; puck; public;
      psychopa; psycho; protozoa; protect; prompt; program; profile;
      professo; processo; proceed; privs; private; priv; printer; princeto;
      prince; presto; prelude; precious; praise; power; poster; post;
      porsche; porno; porn; pork; poor; poop; ponderin; polynomi; polly;
      police; poetry; plymouth; pluto; plover; playboy; plane; pizza; piss;
      pinname; pimp; pierre; pick; phuck; phreak; phrase; phrack; photon;
      phone; phoenix; philip; phil; peter; pete; pervert; persona; persimmo;
      permit; perfect; percolat; pepper; peoria; pentium; penthous;
      pentagra; pentagon; penname; penis; penguin; penelope; pencil; pecker;
      peanuts; paula; patty; patriot; patricia; paste; passphra; pascal;
      papers; paper; papa; pamela; pakistan; paint; painless; packer;
      packard; pacific; oxford; outside; output; outlaw; outdoors; osiris;
      oscar; orwell; orient; orca; operator; opensesa; openlock; opening;
      omega; olivia; olivetti; oldage; okay; office; ocelot; oceanogr;
      obscurit; nyquist; nuts; nutritio; number; null; nukem; nuke; nude;
      nuclear; noxious; november; novel; nova; noth; notes; noreen; node;
      nobody; noble; nnaacp; nita; nintendo; nightmar; night; nicotine;
      nicole; nice; next; newyork; newton; newsgrou; news; newborn; network;
      netscape; ness; neptune; nepenthe; navy; nasa; napoleon; nancy; name;
      nagel; mutant; muppets; msdos; mpeg; mozart; movies; movie; move;
      mouse; mountain; mosaic; mortgage; mortalco; mortal; morris; morley;
      more; moose; moor; moom; monica; monday; moguls; mogul; modem; mode;
      mkii; mission; misfit; minsky; minimum; mine; mike; midieval;
      microsof; micropro; microchi; micro; mickey; michelle; michele;
      michelan; michel; michael; mice; mets; metalica; metalhea; metal;
      merlin; mercury; menu; menace; memory; member; melrose; mellon;
      melissa; megan; megadeth; megabyte; meagan; maurice; math; master;
      mason; mary; marvin; marty; mars; marriage; marni; markus; mark;
      marines; marijuan; marietta; mariens; maria; marcy; marci; mara;
      manager; mana; malcom; malcolm; maint; mail; magnet; magic; maggot;
      macro; mack; macintos; machine; lynne; lynn; lust; luke; lude; lucy;
      lucus; luck; lover; lovebug; louis; loser; lorraine; lorin; lori;
      lore; loose; lolopc; lois; logout; loginwor; logic; lockword; lockout;
      lock; load; live; literatu; lisp; lisa; lips; lion; link; linda;
      limited; limbaugh; lima; lightsab; light; life; licker; lick; library;
      liberal; lexluthe; lewis; letmein; leslie; lesbian; leroy; leland;
      legal; leftwing; left; lebesgue; leah; lazer; lazarus; lava; laura;
      laser; larry; larkin; lara; laptop; lana; laminati; lambda; lakers;
      ladle; ladies; kristy; kristine; kristin; kristie; kristi; kristen;
      krista; known; knightma; knight; knife; klingon; kitten; kissmyas;
      kiss; kirkland; kirk; king; kimberly; kilo; killthem; kill; kids;
      keyword; keyin; keybord; kewl; kevin; kerry; kerrie; kerri; kernel;
      kermit; keri; kelly; katrina; katina; kathy; kathrine; kathleen; kate;
      katana; karina; karie; karen; kaka; jupiter; june; juliet; julie;
      julia; juicy; juggle; judy; judith; joyce; journal; joshua; joseph;
      johnny; johndoe; john; jody; joanne; jixian; jill; jewelry; jester;
      jessica; jerusale; jerry; jenny; jennifer; jenni; jeff; jeanne; jean;
      jazz; java; jasmin; japan; janie; janice; janet; jane; jail; jackie;
      isis; irishman; irene; invent; integer; inside; input; innocuou; inna;
      ingrid; ingress; ingres; indians; indiana; indian; india; include;
      imperial; immortal; imbrogli; image; illumina; icecream; hypertxt;
      hyper; hydrogen; hutchins; hunter; hunt; http; hotel; hotdog; host;
      horus; horse; horror; horrible; horny; hooters; hooker; honey;
      homework; homer; homepage; hollywoo; holly; hole; hits; hitler;
      highland; high; hidden; hibernia; hiawatha; hexadeci; hewlett; heroin;
      hero; herbert; herb; help; hello; hell; heinlein; heidi; hebrides;
      heather; heathen; heat; headbang; head; hawaii; haven; hate; harvey;
      harold; harmony; harddriv; hardcore; hard; happenin; handjob; handily;
      handel; hamster; hamlet; hallowee; hair; hagar; hacked; hack; guntis;
      gumption; guitar; guess; gucci; guardian; gryphon; group; green;
      great; grant; grand; grahm; graham; grades; govermen; gouge; gosling;
      gorges; gorgeous; good; golfer; golf; golden; gold; glacier; girl;
      ginger; gina; gigabyte; gibson; ghost; gertrude; germ; george; gauss;
      gatt; gatherin; gateway; garfield; gardner; games; gabriel; fungible;
      function; fudge; fuckyou; fuckme; fucking; fucker; fuck; fryguy; frog;
      frighten; friends; friend; friday; french; freedom; free; fred; freak;
      frank; france; foxtrot; fourier; forsythe; fornicat; format; form;
      forever; foresigh; ford; force; football; foolproo; fool; food;
      flowers; flower; florida; float; flakes; fishers; firewall; fire;
      finite; file; fight; field; fidelity; ferrari; fermat; fender;
      felicia; feds; fear; fast; fart; faraday; farad; family; false;
      falcon; faith; fairway; extensio; explosiv; explorer; explore;
      explode; expert; evelyn; euclid; eternity; estate; establis; ersatz;
      erotic; erin; erika; erica; eric; erenity; enzyme; enterpri; enter;
      english; england; engineer; engine; enemy; emmanuel; emily; emerald;
      email; ellen; elizabet; elephant; electron; elanor; elaine; einstein;
      einsiein; eileen; eiderdow; egghead; edwina; edwin; educatio;
      education; edition; edit; edinburg; edges; eddie; echo; eatme; easy;
      easier; earth; eagle; eager; dyke; dungeon; duncan; dulce; duke;
      duelist; dude; duck; drought; drive; drdoom; dragon; download; dope;
      doors; door; doonesbu; doomsday; doomii; doom2; doom; dong; dollar;
      doctor; display; disney; diskette; disk; discover; disclose; discipli;
      disc; dirty; director; direct; dipshit; dinosaur; digital; dieter;
      diet; diehard; dick; dice; diane; diana; diamond; dial; device;
      develop; desperat; desktop; desk; desiree; dennis; denise; democrat;
      deluge; delta; defoe; DEFAULT; deck; december; debug; deborah; debbie;
      deathsta; dead; dawn; dave; data; darkaven; dark; dapper; danny;
      danielle; daniel; dancer; dana; daisy; daemon; cynthia; cyberspa;
      cyberpun; cyber; customer; cunt; cshrc; crystal; cristina; criminal;
      crime; cretin; creosote; credit; creature; creation; create; cream;
      crackpot; crack; cowboy; couscous; country; counters; correct;
      corneliu; copy; cops; copper; cooper; cool; cookie; cookbook; cook;
      continue; console; conserva; connie; condom; condo; comrades; comrade;
      computin; company; commrade; commit; comics; combat; color; collins;
      cold; cola; coke; coin; coffee; codeword; codename; code; cock;
      cocainco; cocacola; coast; clusters; cluster; clinton; cleavage;
      claymore; claudia; classic; classes; class; cindy; cigarett; cigar;
      christy; christin; chris; chip; chester; chess; chemistr; chem; chat;
      charon; charming; charlie; charles; charity; change; cerulean;
      celtics; celtic; celt; cecily; cayuga; cave; cathy; catholic;
      catherin; castle; cash; cascades; carson; carrie; caroline; carolina;
      carole; carol; carmen; carla; caren; cardinal; card; capture; captain;
      cantor; candy; candi; camping; campanil; camille; californ; butthead;
      butt; butch; burn; burgess; bung; bumbling; bullshit; bulls; brutefor;
      brute; brunette; brothel; broadway; bridget; brian; brenda; breast;
      break; bravo; brandy; brandi; bradley; boyscout; born; book; boobs;
      boob; boner; bomb; board; blues; blue; blowjob; blow; bloodaxe; blood;
      blondie; blonde; black; bitnet; bitmap; bitch; bishop; bird; bios;
      binary; bill; bigfoot; bicamera; bible; beverly; betty; betsie; beth;
      beta; beryl; berliner; berlin; berkeley; beowulf; benz; beloved; bell;
      behead; begin; beethove; becky; beaver; beauty; beater; beast; bear;
      beammeup; beach; batman; batch; bassoon; bass; basic; baseball;
      bartman; bart; baritone; barf; bare; barber; barbara; banks; bank;
      bandit; bananas; banana; ball; bailey; badass; backdoor; bacchus;
      baby; babe; azure; aztecs; authoriz; attack; atom; atmosphe; athena;
      asshole; asian; artist; arthur; arrow; army; arlene; ariadne; aria;
      april; apollo13; anything; anvils; anthropo; anthrax; answer;
      anonymou; anon; annette; anne; anna; anita; animals; animal; angie;
      angerine; angela; anfo; andy; andromac; android; andrea; anchor;
      anarchy; anarchis; analog; anal; amorphou; america; amber; amanda;
      amadeus; alphabet; allow; allison; alison; alisa; alicia; alice;
      aliases; alias; algebra; alexande; alex; alert; albert; albatros;
      albany; alaska; airplane; aids; aerobics; adult; adrianna; adrian;
      adam; action; account; academic; academia; 000000; 00000; 0000; 000

– Una lista di Nomi utente e Password:
   • testing; death; xxxxxxxxx; xxxxxxxx; xxxxxxx; xxxxxx; xxxxx; xxxx;
      xxx; guessme; youwontguessme; uwontguessme; mirc; kiddie;
      scriptkiddie; script; hax0r; hacker; l337; l33t; leet; killer; 0wn3d;
      w00t; heaven; spaceman; satanic; satanik; satan; gobo; Matthew; Matt;
      Mat; mypass123; mypass; pw123; admin123; mypc123; mypc; love; pwd;
      login; home; zxcv; yxcv; qwer; secret; asdf; win; test123; abc; aaa;
      crash; fucked; netfuck; irule; owned; 0wned; net-devil; netdevil;
      devil; Nilez; foobar; god; sex; pat; patrick; alpha; 007; 123abc;
      1234qwer; 123123; 121212; 111111; 110; 2600; 2002; enable;
      godblessyou; ihavenopass; 123asd; super; Internet; 123qwe; sybase;
      abc123; abcd; passwd; pass; 88888888; 11111111; 111; 54321; 654321;
      123456789; 12345678; 1234567; 123456; 12345; 1234; 123; temp123;
      Changeme; changeme; ; linux; unix; LOCAL; pepsi; SERVER; SYSTEM;
      BACKUP; ACCESS; TEST; edu; Owner; OWNER; DEMO; FILES; READ; BOTH;
      ladeda; FULL; WRITE; SHARE; TEMP; PASSWORD; ADMIN; ROOT; GUEST; bla;
      fubar; ADMINISTRATOR; db2; oracle; dba; database; default; guest;
      wwwadmin; teacher; student; owner; computer; staff; admins;
      administrat; administrateur; administrador; administrator;
      Administrator



Exploit:
Sfrutta le seguenti vulnerabilità:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)
– NetDevil backdoor (port 903)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi due ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.


Processo virale:
Crea uno script TFTP o FTP sulla macchina compromessa per scaricare il malware nella posizione remota.


Esecuzione remota:
–Tenta di pianificare una esecuzione remota del malware, sulla macchina “infettata” recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: irc.nk**********.net
Porta: 7007
Password del server: syst3emd0wn
Canale: ##math
Nickname: %stringa di caratteri casuale%



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Immagine “catturata” dallo schermo
    • Velocità della CPU
    • Utente corrente
    • Dettagli sui driver
    • Spazio libero su disco
    • Memoria libera
    • Uptime del malware
    • Informazioni sulla rete
    • ID della piattaforma
    • Informazioni sui processi in corso
    • Dimensione della memoria
    • Directory di sistema
    • Nome Utente
    • Attività locale dell'utente
    • Directory di Windows
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • Lanciare un attacco DdoS ICMP
    • Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS TCP
    • Lancia un attacco DdoS UDP
    • Disattivare DCOM
    • Disattivare le condivisioni di rete
    • disconnettere dal server IRC
    • Download di file
    • Modificare il registro
    • Attivare DCOM
    • Attivare le condivisioni di rete
    • Eseguire file
    • Connettersi al canale IRC
    • Terminare il processo
    • Abbandonare il canale IRC
    • Aprire condivisione remota
    • Eseguire un attacco DdoS
    • Effettuare scansione della rete
    • Effettuare un reindirizzamento delle porte
    • Registrare un servizio
    • Riavviare il sistema
    • Inviare email
    • Arrestare il sistema
    • Inizia keylog
    • Iniziare procedura di diffusione
    • Terminare il malware
    • Terminare il processo
    • Aggiornarsi
    • Carica un file
    • Visitare un sito web

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Windows Product ID

– Le seguenti chiavi CD:
   • Neverwinter Nights (Hordes of the Underdark); Neverwinter Nights
      (Shadows of Undrentide); Neverwinter Nights; Soldier of Fortune II -
      Double Helix; Hidden & Dangerous 2; Chrome; NOX; Command and Conquer:
      Red Alert 2; Command and Conquer: Tiberian Sun; Rainbow Six III
      RavenShield; Nascar Racing 2003; Nascar Racing 2002; NHL 2003; NHL
      2002; FIFA 2003; FIFA 2002; Need For Speed Hot Pursuit 2; Need For
      Speed: Underground; Medal of Honor: Allied Assault: Spearhead; Medal
      of Honor: Allied Assault: Breakthrough; Medal of Honor: Allied
      Assault; Global Operations; Command & Conquer Generals; James Bond
      007: Nightfire; Command and Conquer: Generals (Zero Hour); Black and
      White; Battlefield Vietnam; Battlefield 1942 (Secret Weapons of WWII);
      Battlefield 1942 (Road To Rome); Battlefield 1942; Freedom Force; IGI
      2: Covert Strike; Unreal Tournament 2004; Unreal Tournament 2003;
      Soldiers Of Anarchy; Legends of Might and Magic; Industry Giant 2;
      Half-Life; Gunman Chronicles; The Gladiators; Counter-Strike (Retail)

– Utilizza uno sniffer di rete che verifica la presenza delle seguenti stringhe:
   • :.login; :,login; :!login; :@login; :$login; :^login; :*login;
      :-login; :+login; :/login; :\login; :=login; :?login; :'login;
      :`login; :~login; : login; :.auth; :,auth; :!auth; :@auth; :$auth;
      :%auth; :^auth; :&auth; :*auth; :-auth; :+auth; :/auth; :\auth;
      :=auth; :?auth; :'auth; :`auth; :~auth; : auth; :.id; :,id; :!id;
      :@id; :$id; :%id; :^id; :&id; :*id; :-id; :+id; :/id; :\id; :=id;
      :?id; :'id; :`id; :~id; : id; :.hashin; :!hashin; :$hashin; :%hashin;
      :.secure; :!secure; :.l; :!l; :$l; :%l; :.x; :!x; :$x; :%x; :.syn;
      :!syn; :$syn; :%syn

– Dopo aver visitato un sito web viene avviata una procedura di “tracciamento”:
   • paypall.com

 Varie Crea il seguente Mutex:
   • fucked
In più contiene la seguente stringa:
   • netadmin.introtomath.com

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Daniel Constantin su mercoledì 7 dicembre 2005
Descrizione aggiornata da Daniel Constantin su lunedì 12 dicembre 2005

Indietro . . . .