Nome del virus:Worm/Agobot.LY
Scoperto:17/06/2004
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:256.512 Byte
Somma di controllo MD5:58bba52d4d709402f80F9fa523e667d6
Versione VDF:6.25.00.100

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Eset: Win32/Agobot


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Blocca l'accesso a siti web di sicurezza
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\svrhost.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "microsoft update process"="svrhost.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "microsoft update process"="svrhost.exe"

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
   • IPC$
   • IPC$
   • C$
   • D$
   • E$
   • ADMIN$
   • ADMIN$
   • print$
Sfrutta le seguenti vulnerabilità:
– MS01-059 (Unchecked Buffer in Universal Plug and Play)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS05-039 (Vulnerability in Plug and Play)


Esecuzione remota:
–Tenta di pianificare una esecuzione remota del malware, sulla macchina “infettata” recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: firm.no-ip.org
Porta: 6667
Canale: #deltawarez
Nickname: %stringa di caratteri casuale%
Password: mznxbcv



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Velocità della CPU
    • Utente corrente
    • Dettagli sui driver
    • Spazio libero su disco
    • Memoria libera
    • Uptime del malware
    • Informazioni sulla rete
    • Dimensione della memoria
    • Nome Utente
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS TCP
    • Lancia un attacco DdoS UDP
    • disconnettere dal server IRC
    • Download di file
    • Eseguire file
    • Connettersi al canale IRC
    • Terminare il processo
    • Abbandonare il canale IRC
    • Effettuare scansione della rete
    • Effettuare un reindirizzamento delle porte
    • Aggiornarsi
    • Visitare un sito web

 Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti non vengono modificati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.trendmicro.com




L'host del file modificato sarà del tipo:


 Backdoor Le seguenti porte sono aperte:

%SYSDIR%\svrhost.exe sulla porta TCP 5840 con lo scopo di procurarsi delle possibili backdoor.
%SYSDIR%\svrhost.exe sulla porta TCP 10422 con lo scopo di procurarsi delle possibili backdoor.

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Le seguenti chiavi CD:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White;
      Command & Conquer Generals; Command and Conquer: Generals (Zero Hour);
      Command and Conquer: Red Alert 2; Command and Conquer: Tiberian Sun;
      Counter-Strike (Retail); FIFA 2002; FIFA 2003; Freedom Force; Global
      Operations; Gunman Chronicles; Half-Life; Hidden & Dangerous 2; IGI 2:
      Covert Strike; Industry Giant 2; James Bond 007: Nightfire; Medal of
      Honor: Allied Assault; Medal of Honor: Allied Assault: Breakthrough;
      Medal of Honor: Allied Assault: Spearhead; Nascar Racing 2002; Nascar
      Racing 2003; Need For Speed: Underground; Neverwinter Nights; NHL
      2003; NHL 2002; Rainbow Six III RavenShield; Shogun: Total War:
      Warlord Edition; Soldier of Fortune II - Double Helix; Soldiers Of
      Anarchy; The Gladiators; Unreal Tournament 2003; Unreal Tournament
      2004

– Le password dai seguenti programmi:
   • Emails Addresses stored in WAB(Windows Address Book)
   • AOL Messenger passwords
   • Windows Messenger passwords

– Utilizza uno sniffer di rete che verifica la presenza delle seguenti stringhe:
   • :.login
   • :!login
   • :.hashin
   • :!hashin
   • :.secure
   • :!secure
   • :!ident
   • :.ident

– Dopo aver visitato un sito web viene avviata una procedura di “tracciamento”:
   • paypal.com

– Cattura:
    • Informazioni di login

 Varie Anti debugging
Verifica se il seguente programma è in esecuzione:
   • SoftICE


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Teodor Onisor su venerdì 3 novembre 2006
Descrizione aggiornata da Teodor Onisor su venerdì 3 novembre 2006

Indietro . . . .