Descrizione completa

Nume:	Worm/RBot.71617
Descoperit pe data de:	15/12/2005
Tip:	Vierme
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Mediu
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	71.617 Bytes
MD5:	7e98cedd83cb0B2ccfe51c16bce86557
Versiune VDF:	6.33.00.28

General Metoda de raspandire:
   • Reteaua locala

Alias:
   • Symantec: W32.Spybot.Worm
   • Kaspersky: Backdoor.Win32.SdBot.aad
   • TrendMicro: WORM_SDBOT.DFH
   • F-Secure: Backdoor.Win32.SdBot.aad
   • Sophos: W32/Tilebot-CM
   • Panda: W32/Sdbot.EKF.worm
   • VirusBuster: Worm.RBot.DFU
   • Bitdefender: Backdoor.Sdbot.F445.A

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Reduce setarile de securitate
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\comctsvc.exe

Incearca sa descarce cateva fisiere:

– Adresele sunt urmatoarele:
   • ftp.ea.com/pub/ea/patches/nfs/nfs-cd.zip
   • ftp.osc.edu/pub/bpowell/oscttssh.exe
   • ftp.ncsa.uiuc.edu/Mac/QuickTime/RealTime1.sea.bin
   • ftp.aol.com/aim/java/aim.exe
   • ftp.symantec.com/public/hungarian/liveupdate/lusetup.exe
   • download.nvidia.com/video/NVIDIA_EuroNews_English.wmv
   • ftp.demon.co.uk
   • space.mit.edu
   • ftp.gactr.uga.edu
   • ftp.novell.com
   • tsx-11.mit.edu

Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "comctsvc" = "%WINDIR%\comctsvc.exe"

Urmatoarele chei sunt adaugate in registrii sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "bftyb" = %hex value%

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   • "DoNotAllowXPSP2"=dword:00000001

Urmatoarele chei din registri sunt modificate:

– HKLM\SYSTEM\CurrentControlSet\Control
   Vechea valoare:
   • "WaitToKillServiceTimeout"=%setarile utilizatorului%
   Noua valoare:
   • "WaitToKillServiceTimeout"="7000"

– HKLM\SOFTWARE\Microsoft\Security Center
   Vechea valoare:
   • "UpdatesDisableNotify"=%setarile utilizatorului%
   • "AntiVirusDisableNotify"=%setarile utilizatorului%
   • "FirewallDisableNotify"=%setarile utilizatorului%
   • "AntiVirusOverride"=%setarile utilizatorului%
   • "FirewallOverride"=%setarile utilizatorului%
   Noua valoare:
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

Dezactiveaza Windows Firewall:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   Vechea valoare:
   • "EnableFirewall"=%setarile utilizatorului%
   Noua valoare:
   • "EnableFirewall"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   Vechea valoare:
   • "AUOptions"=%setarile utilizatorului%
   Noua valoare:
   • "AUOptions"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Vechea valoare:
   • "restrictanonymous"=%setarile utilizatorului%
   Noua valoare:
   • "restrictanonymous"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   Vechea valoare:
   • "AutoShareWks"=%setarile utilizatorului%
   • "AutoShareServer"=%setarile utilizatorului%
   Noua valoare:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Ole
   Vechea valoare:
   • "EnableDCOM"=%setarile utilizatorului%
   Noua valoare:
   • "EnableDCOM"="N"

Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • IPC$
   • d$\windows\system32
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$

Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

– Lista de utilizatori si parole:
   • aaaa; aaa; abc; asd; asdf; qwerty; qwert; 321; 54321; 12345; 1234;
      123; test; backup; user; guest; Rin; Yuka; Mitsuki; Moe; Miyu; Riko;
      Miu; Nanami; Aoi; Misaki; Daiki; Kenta; Kaito; Sota; Shota; Ren; Sho;
      Takumi; Shun; elizabeth; samantha; ashley; isabella; hannahabigail;
      olivia; madison; emma; emily; christopher; joseph; william; daniel;
      andrew; ethan; matthew; joshua; michael; jacob; root; serv; Server;
      server; Test; Backup; User; Guest; Admin; admin; Administrator;
      administrator

Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.

Procesul de infectare:
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.

Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: bitchplz.**********
Port: 8035
Canal: #haqr
Nick: [USA]-%sir de 5 caractere aleatoare%
Parola: :|

Server: wtfchinks.**********
Port: 8035
Canal: #haqr
Nick: [USA]-%sir de 5 caractere aleatoare%
Parola: :|

– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Parole retinute
    • Adresele de email colectate
    • Viteza procesorului
    • Utilizatorul curent
    • Informatii despre drivere
    • Spatiu liber pe disc
    • Memorie nealocata
    • Informatii despre retea
    • Informatii despre procesele sistemului
    • Cantitatea de memorie
    • Utilizator
    • Informatii despre sistemul de operare

– In plus, poate efectua urmatoarele operatii:
    • dezactivarea partajarii de resurse in retea
    • descarcare fisier
    • activarea partajarii de resurse in retea
    • executarea unui fisier
    • terminare proces
    • executare atac DDoS
    • Scaneaza reteaua
    • redirectionare porturi
    • Se actualizeaza singur
    • Face upload la un fisier

Terminarea proceselor Lista cu serviciile dezactivate:
   • Security Center
   • Telnet
   • Remote Registry
   • Messenger

Alte informatii Mutex:
Creeaza urmatorul mutex:
• 357268

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Irina Boldea su martedì 11 aprile 2006
Descrizione aggiornata da Irina Boldea su venerdì 14 aprile 2006

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti