Nome del virus:Worm/Akbot.22568.B
Scoperto:06/10/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:22.568 Byte
Somma di controllo MD5:67871e358250326e2d5abc669516dfe9
Versione VDF:6.36.00.80
Versione IVDF:6.36.00.96 - giovedì 12 ottobre 2006

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Kaspersky: Backdoor.Win32.Akbot.j
   •  TrendMicro: BKDR_AKBOT.AS
   •  F-Secure: Backdoor.Win32.Akbot.j
   •  Sophos: W32/Akbot-AG


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Blocca l'accesso a siti web di sicurezza
   • Duplica un file
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\ltssvc.dll



Viene creato il seguente file:

%TEMPDIR%\uninstall.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ltssvc"="rundll32.exe %SYSDIR%\ltssvc.dll,start"

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Exploit:
Sfrutta le seguenti vulnerabilità:
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnerability in Server Service)

 Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti vengono cancellati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      kaspersky-labs.com; www.kaspersky.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; pandasoftware.com; www.pandasoftware.com;
      www.trendmicro.com; www.grisoft.com; www.microsoft.com; microsoft.com;
      update.microsoft.com; www.virustotal.com; virustotal.com;
      www.ahnlab.com; suc.ahnlab.com; auth.ahnlab.com; ahnlab.com




L'host del file modificato sarà del tipo:


 Backdoor Contatta il server:
Il seguente:
   • http://net.phatnet.**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

Invia informazioni riguardanti:
    • Velocità della CPU
    • Utente corrente
    • Memoria libera
    • Indirizzo IP


Capacità di controllo remoto:
    • Lanciare un attacco DdoS ICMP
    • Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS UDP

 Varie Mutex:
Crea il seguente Mutex:
   • lite.3

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • Petite

Descrizione inserita da Adriana Popa su martedì 7 novembre 2006
Descrizione aggiornata da Adriana Popa su martedì 7 novembre 2006

Indietro . . . .