Nome del virus:Worm/Rbot.1234944
Scoperto:12/10/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:1.233.920 Byte
Somma di controllo MD5:096db3c90724d8d8f14ddf768b87df82
Versione VDF:6.35.01.99
Versione IVDF:6.35.01.100 - mercoledì 16 agosto 2006

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Kaspersky: Backdoor.Win32.Rbot.bgj
   •  TrendMicro: WORM_RBOT.APV
   •  Eset: Win32/Rbot
   •  Bitdefender: Backdoor.Rbot.BGJ


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\%stringa casuale di nove caratteri%.exe



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%SYSDIR%\drivers\oreans32.sys

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "MSI Systems Tool"="%stringa casuale di nove caratteri%"



La seguente chiave di registro è aggiunta continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "MSI Systems Tool"="%stringa casuale di nove caratteri%"



Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
     "Start"=dword:00000001
     "ErrorControl"=dword:00000001
     "ImagePath"="\??\%SYSDIR%\drivers\oreans32.sys"
     "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\OLE]
   • "MSI Systems Tool"="%stringa casuale di nove caratteri%"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000]
   • "Service"="oreans32"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="oreans32"



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Nuovo valore:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\ControlSet001\Control\Lsa]
   Nuovo valore:
   • "restrictanonymous"=dword:00000001

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
   • IPC$
   • C$
   • D$
   • ADMIN$


Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

–Nomi Utente e Password presenti nella cache.

– Una lista di Nomi utente e Password:
   • intranet; lan; main; winpass; blank; office; control; nokia; siemens;
      compaq; dell; cisco; ibm; orainstall; sqlpassoainstall; sql; db1234;
      db1; databasepassword; data; databasepass; dbpassword; dbpass; access;
      domainpassword; domainpass; domain; hello; hell; god; sex; slut;
      bitch; fuck; exchange; backup; technical; loginpass; login; mary;
      katie; kate; george; eric; chris; ian; neil; lee; brian; susan; sue;
      sam; luke; peter; john; mike; bill; fred; joe; jen; bob; qwe; zxc;
      asd; qaz; win2000; winnt; winxp; win2k; win98; windows; oeminstall;
      oemuser; oem; user; homeuser; home; accounting; accounts; internet;
      www; web; outlook; mail; qwerty; null; server; system; changeme;
      linux; unix; demo; none; test; 2004; 2003; 2002; 2001; 2000;
      1234567890; 123456789; 12345678; 1234567; 123456; 12345; 1234; 123;
      007; pwd; pass; pass1234; passwd; password; password1; adm; db2;
      oracle; dba; database; default; guest; wwwadmin; teacher; student;
      owner; computer; root; staff; admin; admins; administrat;
      administrateur; administrador; administrator



Exploit:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.


Esecuzione remota:
–Tenta di pianificare una esecuzione remota del malware, sulla macchina “infettata” recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: Xvrx2.r00t3d.co.**********
Porta: 6667
Canale: #vrx
Nickname: VrX-%stringa casuale di nove caratteri%
Password: X



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Password memorizzate nella cache
    • Immagine “catturata” dallo schermo
    • Immagine “catturata” dalla webcam
    • Velocità della CPU
    • Utente corrente
    • Spazio libero su disco
    • Memoria libera
    • Uptime del malware
    • Informazioni sulla rete
    • Dimensione della memoria
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • Lanciare un attacco DdoS ICMP
    • Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS TCP
    • Lancia un attacco DdoS UDP
    • Disattivare DCOM
    • Disattivare le condivisioni di rete
    • disconnettere dal server IRC
    • Download di file
    • Attivare DCOM
    • Attivare le condivisioni di rete
    • Eseguire file
    • Connettersi al canale IRC
    • Terminare il processo
    • Abbandonare il canale IRC
    • Aprire condivisione remota
    • Eseguire un attacco DdoS
    • Effettuare scansione della rete
    • Effettuare un reindirizzamento delle porte
    • Riavviare il sistema
    • Inviare email
    • Inizia keylog
    • Aggiornarsi
    • Carica un file

 Backdoor Viene aperta la seguente porta:

%file eseguiti% su una porta TCP casuale con lo scopo di procurarsi un server FTP.

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password inserite nei campi di input password

– La seguente chiave CD:
   • Microsoft Windows Product ID

– Le password dai seguenti programmi:
   • Battlefield 1942
   • Battlefield 1942 (Road To Rome)
   • Battlefield 1942 (Secret Weapons of WWII)
   • Battlefield Vietnam
   • Black and White
   • Command & Conquer Generals
   • Command and Conquer: Generals (Zero Hour)
   • Command and Conquer: Red Alert 2
   • Command and Conquer: Tiberian Sun
   • Counter-Strike (Retail)
   • Chrome
   • FIFA 2002
   • FIFA 2003
   • Freedom Force
   • Global Operations
   • Gunman Chronicles
   • Half-Life
   • Hidden & Dangerous 2
   • IGI 2: Covert Strike
   • Industry Giant 2
   • James Bond 007: Nightfire
   • Legends of Might and Magic
   • Medal of Honor: Allied Assault
   • Medal of Honor: Allied Assault: Breakthrough
   • Medal of Honor: Allied Assault: Spearhead
   • Nascar Racing 2002
   • Nascar Racing 2003
   • Need For Speed Hot Pursuit 2
   • Need For Speed: Underground
   • Neverwinter Nights
   • Neverwinter Nights (Hordes of the Underdark)
   • Neverwinter Nights (Shadows of Undrentide)
   • NHL 2003
   • NHL 2002
   • NOX
   • Rainbow Six III RavenShield
   • Shogun: Total War: Warlord Edition
   • Soldier of Fortune II - Double Helix
   • Soldiers Of Anarchy
   • The Gladiators
   • Unreal Tournament 2003
   • Unreal Tournament 2004

– Utilizza uno sniffer di rete che verifica la presenza delle seguenti stringhe:
   • :.login
   • :.l
   • :!l
   • :%l
   • :.syn
   • :!syn
   • :$syn
   • :%syn

– Dopo aver visitato un sito web, che nel suo URL contiene una delle seguenti sottostringhe, viene avviata una procedura di “tracciamento”:
   • paypal.com
   • paypal

– Cattura:
    • Informazioni di login

 Varie Mutex:
Crea il seguente Mutex:
   • VrXGr8


Anti debugging
Verifica se il seguente programma è in esecuzione:
   • SoftIce

Se riuscito viene terminato immediatamente.

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Monica Ghitun su giovedì 12 ottobre 2006
Descrizione aggiornata da Monica Ghitun su mercoledì 22 novembre 2006

Indietro . . . .