Nome del virus:Worm/Poebot.K
Scoperto:30/09/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:53.521 Byte
Somma di controllo MD5:40010cc1ca2d123d654f0163830d398c
Versione VDF:6.36.00.70
Versione IVDF:6.36.00.84 - lunedì 9 ottobre 2006

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Kaspersky: Backdoor.Win32.PoeBot.k
   •  F-Secure: Backdoor.Win32.PoeBot.k
   •  Grisoft: IRC/BackDoor.SdBot2.JJN
   •  Eset: Win32/Poebot
   •  Bitdefender: Backdoor.RBot.HES


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica un file
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Fa copie di se stesso utilizzando un nome file dalle liste
– A: %SYSDIR%\ Utilizzando uno dei seguenti nomi:
   • csrs.exe
   • logon.exe
   • explorer.exe
   • supoolsvc.exe
   • lsass.exe
   • algs.exe
   • iexplore.exe
   • winamp.exe
   • firewall.exe
   • lssas.exe
   • winIogon.exe
   • spooIsv.exe
   • spoolsvc.exe




Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%directory di esecuzione del malware%\%stringa di caratteri casuale%.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"
   • "Windows Logon Application"="%SYSDIR%\logon.exe"
   • "Windows Explorer"="%SYSDIR%\explorer.exe"
   • "Spooler SubSystem App"="%SYSDIR%\supoolsvc.exe"
   • "Local Security Authority Service"="%SYSDIR%\lsass.exe"
   • "Application Layer Gateway Service"="%SYSDIR%\algs.exe"
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"
   • "Winamp Agent"="%SYSDIR%\winamp.exe"
   • "Windows Network Firewall"="%SYSDIR%\firewall.exe
   • "Local Security Authority Service"="%SYSDIR%\lssas.exe"
   • "Windows Logon Application"="%SYSDIR%\winIogon.exe"
   • "Spooler SubSystem App"="%SYSDIR%\spooIsvc.exe"
   • "Spooler SubSystem App"="%SYSDIR%\spoolsvc.exe"

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
   • IPC$
   • print$
   • C$\Documents and Settings\All Users\Documents\$
   • admin$
   • Admin$\system32
   • c$\windows\system32
   • c$\winnt\system32
   • c$\windows
   • c$\winnt
   • e$\shared
   • d$\shared
   • c$\shared


Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

– La seguente lista di Nomi Utente:
   • staff; teacher; owner; student; intranet; lan; main; office; control;
      siemens; compaq; dell; cisco; ibm; oracle; sql; data; access;
      database; domain; god; backup; technical; mary; katie; kate; george;
      eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
      luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
      user; homeuser; home; internet; www; web; root; server; linux; unix;
      computer; adm; admin; admins; administrat; administrateur;
      administrador; administrator

– La seguente lista di Password:
   • winpass; blank; nokia; orainstall; sqlpassoainstall; db1234; db2; db1;
      databasepassword; databasepass; dbpassword; dbpass; domainpassword;
      domainpass; hello; hell; love; money; slut; bitch; fuck; exchange;
      loginpass; login; qwe; zxc; asd; qaz; win2000; winnt; winxp; win2k;
      win98; windows; oeminstall; oem; accounting; accounts; letmein; sex;
      outlook; mail; qwerty; temp123; temp; null; default; changeme; demo;
      test; 2005; 2004; 2001; secret; payday; deadline; work; 1234567890;
      123456789; 12345678; 1234567; 123456; 12345; 1234; 123; 007; pwd;
      pass; pass1234; dba; passwd; password; password1; abc



Exploit:
Sfrutta le seguenti vulnerabilità:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Esecuzione remota:
–Tenta di pianificare una esecuzione remota del malware, sulla macchina “infettata” recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: bignato5hg.**********
Porta: 1863
Canale: #soundblaster
Nickname: i-%stringa di caratteri casuale%

Server: mine.ISDON4.**********
Porta: 1863
Canale: #soundblaster
Nickname: i-%stringa di caratteri casuale%



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Velocità della CPU
    • Utente corrente
    • Dettagli sui driver
    • Spazio libero su disco
    • Memoria libera
    • Informazioni sulla rete
    • Dimensione della memoria
    • Nome Utente
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • Lanciare un attacco DdoS SYN
    • Download di file
    • Effettuare scansione della rete

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password registrate utilizzate dalla funzione di completamento automatico

– Le seguenti chiavi CD:
   • World Of Warcraft
   • Unreal3
   • Steam
   • Conquer Online

– Le password dai seguenti programmi:
   • FlashFXP
   • OutlookExpress
   • MSN

– Dopo aver digitato con la tastiera una stringa che corrisponde a una delle seguenti, viene avviata una procedura di “tracciamento”:
   • paypal; cd key; cd-key; cdkey; passwort; auth; sxt; login; pw=; pass=;
      login=; password=; username=; passwd=; :auth; identify; oper;
      MailPass; pass; unknown; user

– Cattura:
    • Battute di tastiera

– Dopo aver visitato un sito web, che nel suo URL contiene la seguente sottostringa, viene avviata una procedura di “tracciamento”:
   • paypal.com

– Cattura:
    • Informazioni di login

 Varie Mutex:
Crea il seguente Mutex:
   • c2301097005ee0617399022b8f519763a06d

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Adriana Popa su mercoledì 13 dicembre 2006
Descrizione aggiornata da Adriana Popa su lunedì 18 dicembre 2006

Indietro . . . .