Nume:Worm/Poebot.C.173
Descoperit pe data de:26/06/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:87.552 Bytes
MD5:23273e3a6db3f1f22506fc4f7383f359
Versiune VDF:6.35.01.07 - mercoledì 26 luglio 2006
Versiune IVDF:6.35.01.07 - mercoledì 26 luglio 2006

 General Metode de raspandire:
   • Reteaua locala
   • Discuri de retea mapate


Alias:
   •  Kaspersky: Backdoor.Win32.PoeBot.c
   •  Sophos: Troj/PoeBot-HO
   •  VirusBuster: Worm.PoeBot.AD
   •  Eset: Win32/Poebot
   •  Bitdefender: Backdoor.PoeBot.C


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\csrs.exe



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • IPC$
   • C$\Documents and Settings\All Users\Documents\
   • C$\shared
   • C$\windows\system32
   • C$\windows
   • e$\shared
   • d$\shared
   • c$\winnt
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$
   • print$


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

– Lista de utilizatori:
   • staff; teacher; owner; student; intranet; lan; main; office; control;
      siemens; compaq; dell; cisco; ibm; oracle; sql; data; access;
      database; domain; god; backup; technical; mary; katie; kate; george;
      eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
      luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
      user; homeuser; home; internet; www; web; root; server; linux; unix;
      computer; adm; admin; admins; administrat; administrateur;
      administrador; administrator

– Lista de parole:
   • winpass; blank; nokia; orainstall; sqlpassoainstall; db1234; db2; db1;
      databasepassword; databasepass; dbpassword; dbpass; domainpassword;
      domainpass; hello; hell; love; money; slut; bitch; fuck; exchange;
      loginpass; login; qwe; zxc; asd; qaz; win2000; winnt; winxp; win2k;
      win98; windows; oeminstall; oem; accounting; accounts; letmein; sex;
      outlook; mail; qwerty; temp123; temp; null; default; changeme; demo;
      test; 2005; 2004; 2001; secret; payday; deadline; work; 1234567890;
      123456789; 12345678; 1234567; 123456; 12345; 1234; 123; 007; pwd;
      pass; pass1234; dba; passwd; password; password1



Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: 140.116.**********
Port: 9889
Parola serverului: PING
Canal: #xo
Nick: %sir de 8 caractere aleatoare%



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
    • Informatii despre drivere
    • Spatiu liber pe disc
    • Memorie nealocata
    • Informatii despre retea
    • ID-ul platformei
    • Informatii despre procesele sistemului
    • Cantitatea de memorie
    • Utilizator
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • dezactivarea partajarii de resurse in retea
    • descarcare fisier
    • activarea partajarii de resurse in retea
    • Scaneaza reteaua
    • Se actualizeaza singur
    • Face upload la un fisier

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare
– Parole stocate, folosite de functia AutoComplete

– Parolele din urmatoarele programe:
   • FlashFXP
   • MSN
   • OutlookExpress
   • World Of Warcraft
   • Unreal3
   • Conquer Online

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • 9ec754a20fe66d46a39824016be8058a92b8

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Irina Boldea su giovedì 23 novembre 2006
Descrizione aggiornata da Irina Boldea su giovedì 23 novembre 2006

Indietro . . . .