Nome del virus:Worm/Rbot.142336.13
Scoperto:26/03/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:142.336 Byte
Somma di controllo MD5:329eb74d81006d1db94ac1e4819d1b33
Versione VDF:6.34.00.99

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Symantec: W32.Spybot.Worm
   •  TrendMicro: WORM_RBOT.AJD
   •  VirusBuster: Worm.RBot.EHB
   •  Bitdefender: Backdoor.SDBot.4C75613C


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Registra le battute di tastiera
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\mkass.exe
   • C:\nude_pic.scr
   • %HOME%\Desktop\photo album.scr
   • %SYSDIR%\Aquarium-06.scr



Cancella la copia di se stesso eseguita inizialmente.

 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Security Layer"="mkass.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows Security Layer"="mkass.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Security Layer"="mkass.exe"



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Valore precedente:
   • "EnableDCOM"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valore precedente:
   • "restrictanonymous"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "restrictanonymous"=dword:00000001

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
   • IPC$
   • C$
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$


Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

– La seguente lista di Nomi Utente:
   • Abdulrazak; Ackerman; Adams; Addison; Adelstein; Adibe; Adorno;
      Ahlers; Alavi; Alcorn; Alda; Aleks; Allison; Alongi; Altavilla;
      Altenberger; Altenhofen; Amaral; Amatangelo; Ameer; Amsden; Anand;
      Andel; Ando; Andrelus; Andron; Anfinrud; Ansley; Anthony; Antos;
      Arbia; Arduini; Arellano; Aristotle; Arjas; Arky; Atkins; Augustus;
      Aurelius; Axelrod; Axworthy; Ayiemba; Aykroyd; Ayling; Azima;
      Bachmuth; Backus; Bady; Baglivo; Bagnold; Bailar; Bakanowsky; Baleja;
      Ballatori; Ballew; Baltz; Banta; Barabesi; Barajas; Baranczak;
      Baranowska; Barberi; Barbetti; Barneson; Barnett; Barriola; Barry;
      Bartholomew; Bartolome; Bartoo; Basavappa; Bashevis; Batchelder;
      Baumiller; Bayles; Bayo; Beacon; Beal; Bean; Beckman; Beder; Bedford;
      Behenna; Belanger; Belaoussof; Belfer; Belin-Collart; Bellavance;
      Bellhouse; Bellini; Belloc; Benedict-Dye; Bergson; Berke-Jenkins;
      Bernardo; Bernassola; Bernston; Berrizbeitia; Betti; Beynart;
      Biagioli; Bickel; Binion; Bir; Bisema; Bisho; Blackbourn; Blackwell;
      Blagg; Blakemore; Blanke; Bliss; Blizard; Bloch; Bloembergen;
      Bloemhof; Bloxham; Blyth; Bolger; Bolick; Bollinger; Bologna; Boner;
      Bonham; Boniface; Bontempo; Book; Bookbinder; Boone; Boorstin; Borack;
      Borden; Bossi; Bothman; Botosh; Boudin; Boudrot; Bourneuf; Bowers;
      Boxer; Boyajian; Boyes; Boyland; Boym; Boyne; Bracalente; Bradac;
      Bradach; Brecht; Breed; Brenan; Brennan; Brewer; Brewer; Bridgeman;
      Bridges; Brinton; Britz; Broca; Brook; Brzycki; Buchan; Budding;
      Bullard; Bunton; Burden; Burdzy; Burke; Burridge; Busetta; Byatt;
      Byerly; Byrd; Cage; Calnan; Cammelli; Cammilleri; Canley; Capanni;
      Caperton; Capocaccia; Capodilupo; Cappuccio; Capursi; Caratozzolo;
      Carayannopoulos; Carlin; Carlos; Carlyle; Carmichael; Caroti; Carper;
      Cartmill; Cascio; Case; Caspar; Castelda; Cavanagh; Cavell; Ceniceros;
      Cerioli; Chapman; Charles; Cheang; Cherry; Chervinsky; Chiassino;
      Chien; Childress; Childs; Chinipardaz; Chinman; Christenson;
      Christian; Christiano; Christie; Christopher; Chu; Chupasko; Church;
      Ciampaglia; Cicero; Cifarelli; Claffey; Clancy; Clark; Clement;
      Clifton; Clow; Coblenz; Coito; Coldren; Colella; Collard; Collis;
      Compton; Compton; Comstock; Concino; Condodina; Connors; Corey;
      Cornish; Cosmides; Counter; Coutaux; Crawford; Crocker; Croshaw;
      Croxen; Croxton; Cui; Currier; Cutler; Cvek; Cyders; daSilva;
      Daldalian; Daly; D'Ambra; Danieli; Dante; Dapice; D'arcangelo; Das;
      Dasgupta; Daskalu; David; Dawkins; DeGennaro; DeLaPena; del'Enclos;
      deRousse; Debroff; Dees; Defeciani; Delattre; Deleon-Rendon; Delger;
      Dell'acqua; Deming; Dempster; Demusz; Denault; Denham; Denison;
      Desombre; Deutsch; D'fini; Dicks; Diefenbach; Difabio; Difronzo;
      Dilworth; Dionysius; Dirksen; Dockery; Doherty; Donahue; Donner;
      Doonan; Dore; Dorf; Dosi; Doty; Doug; Dowsland; Drinker; D'souza;
      Duffin; Durrett; Dussault; Dwyer; Eardley; Ebeling; Eckel; Edley;
      Edner; Edward; Eickenhorst; Eliasson; Elmendorf; Elmerick; Elvis;
      Encinas; Enyeart; Eppling; Erbach; Erdman; Erdos; Erez; Espinoza;
      Estes; Etter; Euripides; Everett; Fabbris; Fagan; Faioes;
      Falco-Acosta; Falorsi; Faris; Farone; Farren; Fasso'; Fates;
      Feigenbaum; Fejzo; Feldman; Fernald; Fernandes; Ferrante; Ferriell;
      Feuer; Fido; Field; Fink; Finkelstein; Finnegan; Fiorina; Fisk;
      Fitzmaurice; Flier; Flores; Folks; Forester; Fortes; Fortier; Fossey;
      Fossi; Francisco; Franklin-Kenea; Franz; Frazier-Davis; Freid;
      Freundlich; Fried; Friedland; Frisken; Frowiss; Fryberger; Frye;
      Fujii-Abe; Fuller; Furth; Fusaro; Gabrielli; Gaggiotti; Galeotti;
      Galwey; Gambini; Garfield; Garman; Garonna; Geller; Gemberling;
      Georgi; Gerrett; Ghorai; Gibbens; Gibson; Gilbert; Gili; Gill;
      Gillispie; Gist; Gleason; Glegg; Glendon; Goldfarb; Goncalves; Good;
      Goodearl; Goody; Gozzi; Gravell; Greenberg; Greenfeld; Griffiths;
      Grigoletto; Grummell; Gruner; Gruppe; Guenthart; Gunn; Guo; Ha; Haar;
      Hackman; Hackshaw; Haley; Halkias; Hallowell; Halpert; Hambarzumjan;
      Hamer; Hammerness; Hand; Hanssen; Harding; Hargraves; Harlow;
      Harrigan; Hartman; Hartmann; Hartnett; Harwell; Haviaras; Hawkes;
      Hayes; Haynes; Hazlewood; Heermans; Heft; Heiland; Hellman; Hellmiss;
      Helprin; Hemphill; Henery; Henrichs; Hernandez; Herrera; Hester;
      Heubert; Heyeck; Himmelfarb; Hind; Hirst; Hitchcock; Hoang; Hock;
      Hoffer; Hoffman; Hokanson; Hokoda; Holmes; Holoien; Holter; Holway;
      Holzman; Hooker; Hopkins; Horsley; Hoshida; Hostage; Hottle; Howard;
      Hoy; Huey; Huidekoper; Hungerford; Huntington; Hupp; Hurtubise;
      Hutchings; Hyde; Iaquinta; Ichikawa; Igarashi; Inamura; Inniss; Isaac;
      Isaievych; Isbill; Isserman; Iyer; Jacenko; Jackson; Jagers; Jagger;
      Jagoe; Jain; Jamil; Janjigian; Jarnagin; Jarrell; Jay; Jeffers;
      Jellis; Jenkins; Jespersen; Jewett; Johannesson; Johannsen; Johns;
      Jolly; Jorgensen; Jucks; Juliano; Julious; Kabbash; Kaboolian;
      Kafadar; Kalbfleisch; Kaligian; Kalil; Kalinowski; Kalman; Kamel;
      Kangis; Karpouzes; Kassower; Kasten; Kawachi; Kee; Keenan; Keepper;
      Keith; Kelker; Kelsey; Kempton; Kemsley; Kendall; Kerry; Keul; Khong;
      Kimmel; Kimmett; Kimura; Kindall; Kinsley; Kippenberger; Kirscht;
      Kittridge; Kleckner; Kleiman; Kleinfelder; Klemperer; Kling;
      Klinkenborg; Klint; Knuff; Kobrick; Koch; Kohn; Koivumaki; Kommer;
      Koniaris; Konrad; Kool; Korzybski; Kotter; Kovaks; Kraemer; Krailo;
      Krasney; Kraus; Kroemer; Krysiak; Kuenzli; Kumar; Kusman; Kuwabara;
      La; Labunka; Lafler; Laing; Lallemant; Landes; Lankes; Lantieri;
      Lanzit; Laserna; Lashley; Lawless; Lecar; Lecce; Leclercq; Leite;
      Lenard; l'Enclos; Lesser; Lessi; Liakos; Lidano; Liem; Light;
      Lightfoot; Lim; Linares; Linda; Linder; Line; Linehan; Linzee;
      Lippmann; Lipponen; Little; Litvak; Livernash; Livi; Livolsi; Lizardo;
      Locatelli; Longworth; Loss; Loveman; Lowenstein; Loza; Lubin; Lucas;
      Luciano; Luczkow; Luecke; Lunetta; Luoma; Lussier; Lutcavage; Luzader;
      Ma; Maccormac; Macdonald; Maceachern; Macintyre; Mackenney; MacMillan;
      Macy; Madigan; Maggio; Mahony; Maier; Maine-Hershey; Maisano;
      Malatesta; Maller; Malova; Manalis; Mandel; Manganiello; Mantovan;
      March; Marchbanks; Marcus; Margalit; Margetts; Marques; Martinez;
      Martochio; Marton; Marubini; Mass; Matalka; Matarazzo; Matsukata;
      Mattson; Mauzy; May; Mazzali; Mazziotta; Mcbride; Mccaffery; Mccall;
      Mcclearn; Mcdowell; Mcelroy; McFadden; Mcghee; Mcgoldrick; McIlroy;
      Mcintosh; Mckenna; Mclane; Mclaren; Mcnealy; Mcnulty; Meccariello;
      Memisoglu; Menzies; Merikoski; Merlani; Merminod; Merseth; Merz;
      Metelka; Metropolis; Meurer; Michelman; Middle; Mieher; Mills; Minh;
      Mini; Minichiello; Gonzalez; Mitropoulos; Mittal; Mocroft; Modestino;
      Moeller; Mohr; Moiamedi; Monque; Montilio; MooreDeCh.; Morani;
      Moreton; Morrison; Morrow; Mortimer; Mosher; Mosler; Mostafavi;
      Motooka; Mudarri; Muello; Mugnai; Mulkern; Mulroy; Mumford; Mussachio;
      Naddeo; Napolitano; Nardi; Nardone; Naviaux; Nayduch; Nelson; Nenna;
      Nesci; Neuman; Newfeld; Newlin; Ng; Ni; Nickerson; Nickoloff;
      Nisenson; Nitabach; Notman; Nuzum; Ocougne; Ogata; Oh; O'hagan;
      Oldford; Olsen; Olson; Olszewski; O'malley; Oman; O'meara; Opel; Oray;
      Orfield; Orsi; Ospina; Ostrowski; Ottaviani; Otten; Ouchida; Ovid;
      PaesDealmeida; Paine; Palayoor; Palepu; Pallara; Palmitesta; Panadero;
      Panizzon; Pantilla; Paoletti; Parmeggiani; Parris; Partridge;
      Pascucci; Patefield; Patrick; Pattullo; Pavetti; Pavlon; Pawloski;
      Paynter; Peabody; Pearlberg; Pederson; Peishel; Penny; Pereira; Perko;
      Perlak; Perlman; Perna; Perone; Perrimon; Peters; Petruzello;
      Pettibone; Pettit; Pfister; Pilbeam; Pinot; Plancon; Plant; Plasket;
      Plous; Po; Pocobene; Poincaire; Pointer; Poirier; Polak; Polanyi;
      Politis; Poma; Poolman; Powers; Presper; Preucel; Prevost; Pritchard;
      Pritz; Proietti; Prothrow-Stith; Puccia; Pugh; Pynchon; Quaday;
      Quetin; Rabe; Rabkin; Radeke; Rajagopalan; Raney; Rangan; Rankin;
      Rapple; Rayport; Redden-Tyler; Reedquist; Cunningham; Reinold; Remak;
      Renick; Repetto; Resnik; Rhea; Richmond; Rielly; Rindos; Rineer; Rish;
      Rivera; Robinson; Rocha; Roesler; Rogers; Ronen; Row; Royal; Ru; Ruan;
      Ruderman; Ruescher; Rush; Ryu; Sabatello; Sadler; Safire; Sahu; Sali;
      Samson; Sanchez-Ramirez; Sanna; Sapers; Sarin; Sartore; Sase; Satin;
      Satta; Satterthwaite; Sawtell; Sayied; Scarponi; Scepan; Scharf;
      Scharlemann; Scheiner; Schiano; Schifini; Schilling; Schmitt;
      Schossberger; Schuman; Schutte; Schuyler; Schwan; Schwickrath; Scovel;
      Scudder; Seaton; Seeber; Segal; Sekler; Selvage; Sen; Sennett;
      Seterdahl; Sexton; Seyfert; Shaikh; Shakis; Shankland; Shanley; Shar;
      Shatrov; Shavelson; Shea; Sheats; Shepherd; Sheppard; Shepstone;
      Shesko; Shia; Shibata; Shimon; Siesto; Sigalot; Sigini; Signa;
      Silverman; Silvetti; Sinsabaugh; Sirilli; Sites; Skane; Skerry; Skoda;
      Sloan; Slowe; Smilow; Sniffen; Snodgrass; Socolow; Solon; Somers;
      Sommariva; Sorabella; Sorg; Sottak; Soukup; Soule; Soultanian;
      Spanier; Sparrow; Spaulding; Speizer; Spence; Sperber; Spicer;
      Spiegelhalter; Spiliotis; Spinrad; StMartin; Stalvey; Stam; Stang;
      Stassinopolus; States; Statlender; Stefani; Steiner; Stephanian;
      Stepniewska; Stewart-Oaten; Stiepock; Stillwell; Stock; Stockton;
      Stockwell; Stolzenberg; Stonich; Storer; Stott; Strange; Strauch;
      Streiff; Stringer; Sullivan; Sumner; Suo; Surdam; Sweeting; Sweetser;
      Swindle; Tagiuri; Tai; Talaugon; Tambiah; Tandler; Tanowitz; Tatar;
      Taveras; Tawn; Tcherepnin; Teague; Temes; Temmer; Tenney; Terracini;
      Than; Thavaneswaran; Theodos; Thibault; Thisted; Thomsen; Throop;
      Tierney; Till; Timmons; Tofallis; Tollestrup; Tolls; Tolman; Tomford;
      Toomer; Topulos; Torresi; Torske; Towler; Toye; Traebert; Trenga;
      Trewin; Tringali; Troiani; Troy; Truss; Tsiatis; Tsomides; Tsukurov;
      Tuck; Tudge; Tukan; Turano; Turek; Tuttle; Twells; Tzamarias; Ullman;
      Untermeyer; Upsdell; Urban; Urdang-Brown; Usdan; Uzuner; Vacca; Waite;
      Valberg; Valencia; Wales; Wallenberg; Walter; vanAllen; VanZwet;
      Vandenberg; Vanheeckeren; Warshafsky; Wasowska; Vasquez; Waugh;
      Weighart; Weingarten; Weinhaus; Weissbourd; Weissman; Velasquez;
      Welles; Welsh; Wengret; Venne; Verghese; Wescott; Wetzel; Whately;
      Whilton; White; Whitla; Whittaker; Viana; Viano; Wiedersheim; Wiener;
      Viens; Vignola; Wilder; Wilhelm; Wilk; Wilkin; Wilkinson; Villarreal;
      Willstatter; Wilson; Vitali; Viviani; Voigt; Wolk; VonHoffman; Woo;
      Wooden; Woods; Woods-Powell; Vorhaus; Votey; Yacono; Yamane; Yankee;
      Yarchuk; Yates; Ybarra; Yedidia; Yesson; Yetiv; Yoffe; Yoo; Youk-See;
      Yu; Zachary; Zahedi; Zangwill; Zegans; Zerbini; Zoldak; Zucconi; Zurn;
      Zwiers; Zytowski

– La seguente lista di Password:
   • administrator; administrador; administrateur; administrat; admins;
      admin; staff; root; computer; owner; student; teacher; wwwadmin;
      guest; default; database; dba; oracle; db2; administrator;
      administrador; administrateur; administrat; admins; admin; adm;
      password1; password; passwd; pass1234; pass; pwd; 007; 71; 12; 123;
      1234; 12345; 123456; 1234567; 12345678; 123456789; 1234567890; 2000;
      2001; 2002; 2003; 2004; test; guest; none; demo; unix; linux;
      changeme; default; system; server; root; null; qwerty; mail; outlook;
      web; www; internet; accounts; accounting; home; homeuser; user; oem;
      oemuser; oeminstall; windows; win98; win2k; winxp; winnt; win2000;
      qaz; asd; zxc; qwe; bob; jen; joe; fred; bill; mike; john; peter;
      luke; sam; sue; susan; peter; brian; lee; neil; ian; chris; eric;
      george; kate; bob; katie; mary; login; loginpass; technical; backup;
      exchange; fuck; bitch; slut; sex; god; hell; hello; domain;
      domainpass; domainpassword; database; access; dbpass; dbpassword;
      databasepass; data; databasepassword; db1; db2; db1234; sa; sql;
      sqlpassoainstall; orainstall; oracle; ibm; cisco; dell; compaq;
      siemens; hp; nokia; xp; control; office; blank; winpass; main; lan;
      internet; intranet; student; teacher; staff



Exploit:
Sfrutta le seguenti vulnerabilità:
– MS02-018 (Patch for Internet Information Service)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– VX05-006 (Remote Heap Overflow when using the VERITAS Backup Exec Admin Plus Pack Option)


Processo virale:
Crea uno script TFTP o FTP sulla macchina compromessa per scaricare il malware nella posizione remota.


Esecuzione remota:
–Tenta di pianificare una esecuzione remota del malware, sulla macchina “infettata” recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: deathfield.**********
Porta: 5236
Canale: #g0d
Nickname: USA|%stringa casuale di quattro caratteri%
Password: tw33k



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Immagine “catturata” dallo schermo
    • Immagine “catturata” dalla webcam
    • Velocità della CPU
    • Dettagli sui driver
    • Spazio libero su disco
    • Memoria libera
    • Uptime del malware
    • Informazioni sulla rete
    • Informazioni sui processi in corso
    • Dimensione della memoria
    • Nome Utente
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • Lanciare un attacco DdoS ICMP
    • Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS TCP
    • Lancia un attacco DdoS UDP
    • Disattivare DCOM
    • Disattivare le condivisioni di rete
    • Download di file
    • Attivare DCOM
    • Attivare le condivisioni di rete
    • Eseguire file
    • Terminare il processo
    • Abbandonare il canale IRC
    • Aprire condivisione remota
    • Eseguire un attacco DdoS
    • Effettuare scansione della rete
    • Effettuare un reindirizzamento delle porte
    • Riavviare il sistema
    • Inizia keylog
    • Terminare il malware
    • Terminare il processo

 Processi terminati Lista dei processi che vengono terminati:
   • ACKWIN32.EXE; ADAWARE.EXE; ADVXDWIN.EXE; AGENTSVR.EXE; AGENTW.EXE;
      ALERTSVC.EXE; ALEVIR.EXE; ALOGSERV.EXE; AMON9X.EXE; ANTI-TROJAN.EXE;
      ANTIVIRUS.EXE; ANTS.EXE; APIMONITOR.EXE; APLICA32.EXE; APVXDWIN.EXE;
      ARR.EXE; ATCON.EXE; ATGUARD.EXE; ATRO55EN.EXE; ATUPDATER.EXE;
      ATUPDATER.EXE; ATWATCH.EXE; AU.EXE; AUPDATE.EXE; AUPDATE.EXE;
      AUTODOWN.EXE; AUTODOWN.EXE; AUTOTRACE.EXE; AUTOTRACE.EXE;
      AUTOUPDATE.EXE; AUTOUPDATE.EXE; AVCONSOL.EXE; AVE32.EXE; AVGCC32.EXE;
      AVGCTRL.EXE; AVGNT.EXE; AVGSERV.EXE; AVGSERV9.EXE; AVGUARD.EXE;
      AVGW.EXE; AVKPOP.EXE; AVKSERV.EXE; AVKSERVICE.EXE; AVKWCTl9.EXE;
      AVLTMAIN.EXE; AVNT.EXE; AVP.EXE; AVP32.EXE; AVPCC.EXE; AVPDOS32.EXE;
      AVPM.EXE; AVPTC32.EXE; AVPUPD.EXE; AVPUPD.EXE; AVSCHED32.EXE;
      AVSYNMGR.EXE; AVWIN95.EXE; AVWINNT.EXE; AVWUPD.EXE; AVWUPD32.EXE;
      AVWUPD32.EXE; AVWUPSRV.EXE; AVXMONITOR9X.EXE; AVXMONITORNT.EXE;
      AVXQUAR.EXE; AVXQUAR.EXE; BACKWEB.EXE; BARGAINS.EXE;
      BD_PROFESSIONAL.EXE; BEAGLE.EXE; BELT.EXE; BIDEF.EXE; BIDSERVER.EXE;
      BIPCP.EXE; BIPCPEVALSETUP.EXE; BISP.EXE; BLACKD.EXE; BLACKICE.EXE;
      BLSS.EXE; BOOTCONF.EXE; BOOTWARN.EXE; BORG2.EXE; BPC.EXE; BRASIL.EXE;
      BS120.EXE; BUNDLE.EXE; BVT.EXE; CCAPP.EXE; CCEVTMGR.EXE; CCPXYSVC.EXE;
      CDP.EXE; CFD.EXE; CFGWIZ.EXE; CFIADMIN.EXE; CFIAUDIT.EXE;
      CFIAUDIT.EXE; CFINET.EXE; CFINET32.EXE; CLAW95CF.EXE; CLEAN.EXE;
      CLEANER.EXE; CLEANER3.EXE; CLEANPC.EXE; CLICK.EXE; CMD.EXE; CMD32.EXE;
      CMESYS.EXE; CMGRDIAN.EXE; CMON016.EXE; CONNECTIONMONITOR.EXE; CPD.EXE;
      CPF9X206.EXE; CPFNT206.EXE; CTRL.EXE; CV.EXE; CWNB181.EXE;
      CWNTDWMO.EXE; Claw95.EXE; CLAW95CF.EXE; DATEMANAGER.EXE; DCOMX.EXE;
      DEFALERT.EXE; DEFSCANGUI.EXE; DEFWATCH.EXE; DEPUTY.EXE; DIVX.EXE;
      DLLCACHE.EXE; DLLREG.EXE; DOORS.EXE; DPF.EXE; DPFSETUP.EXE; DPPS2.EXE;
      DRWATSON.EXE; DRWEB32.EXE; DRWEBUPW.EXE; DSSAGENT.EXE; DVP95.EXE;
      DVP95_0.EXE; ECENGINE.EXE; EFPEADM.EXE; EMSW.EXE; ESAFE.EXE;
      ESCANH95.EXE; ESCANHNT.EXE; ESCANV95.EXE; ESPWATCH.EXE; ETHEREAL.EXE;
      ETRUSTCIPE.EXE; EVPN.EXE; EXANTIVIRUS-CNET.EXE; EXE.AVXW.EXE;
      EXPERT.EXE; EXPLORE.EXE; F-AGNT95.EXE; F-PROT.EXE; F-PROT95.EXE;
      F-STOPW.EXE; FAMEH32.EXE; FAST.EXE; FCH32.EXE; FIH32.EXE;
      FINDVIRU.EXE; FIREWALL.EXE; FLOWPROTECTOR.EXE; FNRB32.EXE; FP-WIN.EXE;
      FP-WIN_TRIAL.EXE; FPROT.EXE; FRW.EXE; FSAA.EXE; FSAV.EXE; FSAV32.EXE;
      FSAV530STBYB.EXE; FSAV530WTBYB.EXE; FSAV95.EXE; FSGK32.EXE; FSM32.EXE;
      FSMA32.EXE; FSMB32.EXE; GATOR.EXE; GBMENU.EXE; GBPOLL.EXE;
      GENERICS.EXE; GMT.EXE; GUARD.EXE; GUARDDOG.EXE; HACKTRACERSETUP.EXE;
      HBINST.EXE; HBSRV.EXE; HOTACTIO.EXE; HOTPATCH.EXE; HTLOG.EXE;
      HTPATCH.EXE; HWPE.EXE; HXDL.EXE; HXIUL.EXE; IAMAPP.EXE; IAMSERV.EXE;
      IAMSTATS.EXE; IBMASN.EXE; IBMAVSP.EXE; ICLOAD95.EXE; ICLOADNT.EXE;
      ICMON.EXE; ICSUPP95.EXE; ICSUPP95.EXE; ICSUPPNT.EXE; IDLE.EXE;
      IEDLL.EXE; IEDRIVER.EXE; IEXPLORER.EXE; IFACE.EXE; IFW2000.EXE;
      INETLNFO.EXE; INFUS.EXE; INFWIN.EXE; INIT.EXE; INTDEL.EXE; INTREN.EXE;
      IOMON98.EXE; IPARMOR.EXE; IRIS.EXE; ISASS.EXE; ISRV95.EXE; ISTSVC.EXE;
      JAMMER.EXE; JDBGMRG.EXE; JEDI.EXE; KAVLITE40ENG.EXE; KAVPERS40ENG.EXE;
      KAVPF.EXE; KAZZA.EXE; KEENVALUE.EXE; KERIO-PF-213-EN-WIN.EXE;
      KERIO-WRL-421-EN-WIN.EXE; KERIO-WRP-421-EN-WIN.EXE; KERNEL32.EXE;
      KILLPROCESSSETUP161.EXE; LAUNCHER.EXE; LDNETMON.EXE; LDPRO.EXE;
      LDPROMENU.EXE; LDSCAN.EXE; LNETINFO.EXE; LOADER.EXE; LOCALNET.EXE;
      LOCKDOWN.EXE; LOCKDOWN2000.EXE; LOOKOUT.EXE; LORDPE.EXE; LSETUP.EXE;
      LUALL.EXE; LUALL.EXE; LUAU.EXE; LUCOMSERVER.EXE; LUINIT.EXE;
      LUSPT.EXE; MAPISVC32.EXE; MCAGENT.EXE; MCMNHDLR.EXE; MCSHIELD.EXE;
      MCTOOL.EXE; MCUPDATE.EXE; MCUPDATE.EXE; MCVSRTE.EXE; MCVSSHLD.EXE;
      MD.EXE; MFIN32.EXE; MFW2EN.EXE; MFWENG3.02D30.EXE; MGAVRTCL.EXE;
      MGAVRTE.EXE; MGHTML.EXE; MGUI.EXE; MINILOG.EXE; MMOD.EXE; MONITOR.EXE;
      MOOLIVE.EXE; MOSTAT.EXE; MPFAGENT.EXE; MPFSERVICE.EXE; MPFTRAY.EXE;
      MRFLUX.EXE; MSAPP.EXE; MSBB.EXE; MSBLAST.EXE; MSCACHE.EXE;
      MSCCN32.EXE; MSCMAN.EXE; MSCONFIG.EXE; MSDM.EXE; MSDOS.EXE;
      MSIEXEC16.EXE; MSINFO32.EXE; MSLAUGH.EXE; MSMGT.EXE; MSMSGRI32.EXE;
      MSSMMC32.EXE; MSSYS.EXE; MSVXD.EXE; MU0311AD.EXE; MWATCH.EXE;
      N32SCANW.EXE; NAV.EXE; AUTO-PROTECT.NAV80TRY.EXE; NAVAP.NAVAPSVC.EXE;
      NAVAPSVC.EXE; NAVAPW32.EXE; NAVDX.EXE; NAVENGNAVEX15.NAVLU32.EXE;
      NAVLU32.EXE; NAVNT.EXE; NAVSTUB.EXE; NAVW32.EXE; NAVWNT.EXE;
      NC2000.EXE; NCINST4.EXE; NDD32.EXE; NEOMONITOR.EXE; NEOWATCHLOG.EXE;
      NETARMOR.EXE; NETD32.EXE; NETINFO.EXE; NETMON.EXE; NETSCANPRO.EXE;
      NETSPYHUNTER-1.2.EXE; NETSTAT.EXE; NETUTILS.EXE; NISSERV.EXE;
      NISUM.EXE; NMAIN.EXE; NOD32.EXE; NORMIST.EXE;
      NORTON_INTERNET_SECU_3.0_407.EXE; NOTSTART.EXE;
      NPF40_TW_98_NT_ME_2K.EXE; NPFMESSENGER.EXE; NPROTECT.EXE;
      NPSCHECK.EXE; NPSSVC.EXE; NSCHED32.EXE; NSSYS32.EXE; NSTASK32.EXE;
      NSUPDATE.EXE; NT.EXE; NTRTSCAN.EXE; NTVDM.EXE; NTXconfig.EXE; NUI.EXE;
      NUPGRADE.EXE; NUPGRADE.EXE; NVARCH16.EXE; NVC95.EXE; NVSVC32.EXE;
      NWINST4.EXE; NWSERVICE.EXE; NWTOOL16.EXE; OLLYDBG.EXE; ONSRVR.EXE;
      OPTIMIZE.EXE; OSTRONET.EXE; OTFIX.EXE; OUTPOST.EXE; OUTPOST.EXE;
      OUTPOSTINSTALL.EXE; OUTPOSTPROINSTALL.EXE; PADMIN.EXE; PANIXK.EXE;
      PATCH.EXE; PAVCL.EXE; PAVPROXY.EXE; PAVSCHED.EXE; PAVW.EXE;
      PCC2002S902.EXE; PCC2K_76_1436.EXE; PCCIOMON.EXE; PCCNTMON.EXE;
      PCCWIN97.EXE; PCCWIN98.EXE; PCDSETUP.EXE; PCFWALLICON.EXE;
      PCIP10117_0.EXE; PCSCAN.EXE; PDSETUP.EXE; PENIS.EXE; PERISCOPE.EXE;
      PERSFW.EXE; PERSWF.EXE; PF2.EXE; PFWADMIN.EXE; PGMONITR.EXE;
      PINGSCAN.EXE; PLATIN.EXE; POP3TRAP.EXE; POPROXY.EXE; POPSCAN.EXE;
      PORTDETECTIVE.EXE; PORTMONITOR.EXE; POWERSCAN.EXE; PPINUPDT.EXE;
      PPTBC.EXE; PPVSTOP.EXE; PRIZESURFER.EXE; PRMT.EXE; PRMVR.EXE;
      PROCDUMP.EXE; PROCESSMONITOR.EXE; PROCEXPLORERV1.0.EXE;
      PROGRAMAUDITOR.EXE; PROPORT.EXE; PROTECTX.EXE; PSPF.EXE; PURGE.EXE;
      PUSSY.EXE; PVIEW95.EXE; QCONSOLE.EXE; QSERVER.EXE; RAPAPP.EXE;
      RAV7.EXE; RAV7WIN.EXE; RAV8WIN32ENG.EXE; RAY.EXE; RB32.EXE;
      RCSYNC.EXE; REALMON.EXE; REGED.EXE; REGEDIT.EXE; REGEDT32.EXE;
      RESCUE.EXE; RESCUE32.EXE; RRGUARD.EXE; RSHELL.EXE; RTVSCAN.EXE;
      RTVSCN95.EXE; RULAUNCH.EXE; RUN32DLL.EXE; RUNDLL.EXE; RUNDLL16.EXE;
      RUXDLL32.EXE; SAFEWEB.EXE; SAHAGENT.EXE; SAVE.EXE; SAVENOW.EXE;
      SBSERV.EXE; SC.EXE; SCAM32.EXE; SCAN32.EXE; SCAN95.EXE; SCANPM.EXE;
      SCRSCAN.EXE; SCRSVR.EXE; SCVHOST.EXE; SD.EXE; SERV95.EXE; SERVICE.EXE;
      SERVLCE.EXE; SERVLCES.EXE; SETUPVAMEEVAL.EXE;
      SETUP_FLOWPROTECTOR_US.EXE; SFC.EXE; SGSSFW32.EXE; SH.EXE;
      SHELLSPYINSTALL.EXE; SHN.EXE; SHOWBEHIND.EXE; SMC.EXE; SMS.EXE;
      SMSS32.EXE; SOAP.EXE; SOFI.EXE; SPERM.EXE; SPF.EXE; SPHINX.EXE;
      SPOLER.EXE; SPOOLCV.EXE; SPOOLSV32.EXE; SPYXX.EXE; SREXE.EXE;
      SRNG.EXE; SS3EDIT.EXE; SSGRATE.EXE; SSG_4104.EXE; ST2.EXE; START.EXE;
      STCLOADER.EXE; SUPFTRL.EXE; SUPPORT.EXE; SUPPORTER5.EXE; SVC.EXE;
      SVCHOSTC.EXE; SVCHOSTS.EXE; SVSHOST.EXE; SWEEP95.EXE;
      SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE; SYMPROXYSVC.EXE; SYMTRAY.EXE;
      SYSEDIT.EXE; SYSTEM.EXE; SYSTEM32.EXE; SYSUPD.EXE; TASKMG.EXE;
      TASKMO.EXE; TASKMON.EXE; TAUMON.EXE; TBSCAN.EXE; TC.EXE; TCA.EXE;
      TCM.EXE; TDS-3.EXE; TDS2-98.EXE; TDS2-NT.EXE; TEEKIDS.EXE; TFAK.EXE;
      TFAK5.EXE; TGBOB.EXE; TITANIN.EXE; TITANINXP.EXE; TRACERT.EXE;
      TRICKLER.EXE; TRJSCAN.EXE; TRJSETUP.EXE; TROJANTRAP3.EXE; TSADBOT.EXE;
      TVMD.EXE; TVTMD.EXE; UNDOBOOT.EXE; UPDAT.EXE; UPDATE.EXE; UPDATE.EXE;
      UPGRAD.EXE; UTPOST.EXE; VBCMSERV.EXE; VBCONS.EXE; VBUST.EXE;
      VBWIN9X.EXE; VBWINNTW.EXE; VCSETUP.EXE; VET32.EXE; VET95.EXE;
      VETTRAY.EXE; VFSETUP.EXE; VIR-HELP.EXE; VIRUSMDPERSONALFIREWALL.EXE;
      VNLAN300.EXE; VNPC3000.EXE; VPC32.EXE; VPC42.EXE; VPFW30S.EXE;
      VPTRAY.EXE; VSCAN40.EXE; VSCENU6.02D30.EXE; VSCHED.EXE; VSECOMR.EXE;
      VSHWIN32.EXE; VSISETUP.EXE; VSMAIN.EXE; VSMON.EXE; VSSTAT.EXE;
      VSWIN9XE.EXE; VSWINNTSE.EXE; VSWINPERSE.EXE; W32DSM89.EXE; W9X.EXE;
      WATCHDOG.EXE; WEBDAV.EXE; WEBSCANX.EXE; WEBTRAP.EXE; WFINDV32.EXE;
      WGFE95.EXE; WHOSWATCHINGME.EXE; WIMMUN32.EXE; WIN-BUGSFIX.EXE;
      WIN32.EXE; WIN32US.EXE; WINACTIVE.EXE; WINDOW.EXE; WINDOWS.EXE;
      WININETD.EXE; WININIT.EXE; WININITX.EXE; WINLOGIN.EXE; WINMAIN.EXE;
      WINNET.EXE; WINPPR32.EXE; WINRECON.EXE; WINSERVN.EXE; WINSSK32.EXE;
      WINSTART.EXE; WINSTART001.EXE; WINTSK32.EXE; WINUPDATE.EXE;
      WKUFIND.EXE; WNAD.EXE; WNT.EXE; WRADMIN.EXE; WRCTRL.EXE; WSBGATE.EXE;
      WUPDATER.EXE; WUPDT.EXE; WYVERNWORKSFIREWALL.EXE; XPF202EN.EXE;
      ZAPSETUP3001.EXE; ZATUTOR.EXE; ZONALM2601.EXE; ZONEALARM.EXE;
      _AVP32.EXE; _AVPCC.EXE; _AVPM.EXE; HIJACKTHIS.EXE; F-AGOBOT.EXE;
      TASKMGR.EXE; ZAPRO.EXE; ENT.EXE; TEATIMER.EXE; MSSEARCHNET.EXE;
      NVCTRL.EXE


 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Windows Product ID

– Le seguenti chiavi CD:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White;
      Command & Conquer Generals; Command and Conquer: Generals (Zero Hour);
      Command and Conquer: Red Alert 2; Command and Conquer: Tiberian Sun;
      Counter-Strike (Retail); Chrome; FIFA 2002; FIFA 2003; Freedom Force;
      Global Operations; Gunman Chronicles; Half-Life; Hidden & Dangerous 2;
      IGI 2: Covert Strike; Industry Giant 2; James Bond 007: Nightfire;
      Legends of Might and Magic; Medal of Honor: Allied Assault; Medal of
      Honor: Allied Assault: Breakthrough; Medal of Honor: Allied Assault:
      Spearhead; Nascar Racing 2002; Nascar Racing 2003; Need For Speed Hot
      Pursuit 2; Need For Speed: Underground; Neverwinter Nights;
      Neverwinter Nights (Hordes of the Underdark); Neverwinter Nights
      (Shadows of Undrentide); NHL 2003; NHL 2002; NOX; Rainbow Six III
      RavenShield; Shogun: Total War: Warlord Edition; Soldier of Fortune II
      - Double Helix; Soldiers Of Anarchy; The Gladiators; Unreal Tournament
      2003; Unreal Tournament 2004

– Utilizza uno sniffer di rete che verifica la presenza delle seguenti stringhe:
   • :.login; :,login; :!login; :@login; :$login; :%login; :^login;
      :*login; :-login; :+login; :/login; :\login; :=login; :?login;
      :'login; :`login; :~login; : login; :.auth; :,auth; :!auth; :@auth;
      :$auth; :%auth; :^auth; :&auth; :*auth; :-auth; :+auth; :/auth;
      :\auth; :=auth; :?auth; :'auth; :`auth; :~auth; : auth; :.id; :,id;
      :!id; :@id; :$id; :%id; :^id; :&id; :*id; :-id; :+id; :/id; :\id;
      :=id; :?id; :'id; :`id; :~id; : id; :.hashin; :!hashin; :$hashin;
      :%hashin; :.secure; :!secure; :.l; :!l; :$l; :%l; :.x; :!x; :$x; :%x;
      :.syn; :!syn; :$syn; :%syn; :!ident; :.ident

– Dopo aver visitato un sito web, che nel suo URL contiene una delle seguenti sottostringhe, viene avviata una procedura di “tracciamento”:
   • paypal.com
   • PAYPAL.com

 Varie Mutex:
Crea il seguente Mutex:
   • piabot-2

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • Neolite

Descrizione inserita da Victor Tone su giovedì 20 aprile 2006
Descrizione aggiornata da Victor Tone su giovedì 20 aprile 2006

Indietro . . . .