Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Rbot.210944
Scoperto:09/06/2004
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:88.064 Byte
Somma di controllo MD5:30d1ceeb713701948f1746dd3912f7d3
Versione VDF:6.25.00.89

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Kaspersky: Backdoor.Win32.Rbot.adf
   •  Eset: Win32/Rbot
   •  Bitdefender: Backdoor.RBot.ADF


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Registra le battute di tastiera
   • Modifica del registro
   • Sfrutta la vulnerabilit del software
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\%stringa casuale di sei caratteri%.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Le seguenti chiavi di registro sono aggiunte continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Threeder infoe"="%stringa casuale di sei caratteri%.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Threeder infoe"="%stringa casuale di sei caratteri%.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Threeder infoe"="%stringa casuale di sei caratteri%.exe"



Viene aggiunta la seguente chiave di registro:

HKCU\Software\Microsoft\OLE
   • "Threeder infoe"="%stringa casuale di sei caratteri%.exe"



Viene cambiata la seguente chiave di registro:

HKLM\SYSTEM\ControlSet001\Control\Lsa
   Valore precedente:
   • "restrictanonymous"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "restrictanonymous"=dword:00000001

 Infezione della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa pi copie di se stesso nelle seguenti condivisioni di rete:
   • IPC$
   • C$
   • ADMIN$
Una lista di Nomi utente e Password:
   • 7; 123; 1234; 2000; 2001; 2002; 2003; 2004; 12345; 123456; 1234567;
      12345678; 123456789; 1234567890; access; accounting; accounts; adm;
      admin; administrador; administrat; administrateur; administrator;
      admins; asd; backup; bill; bitch; blank; bob; brian; changeme; chris;
      cisco; compaq; computer; control; data; database; databasepass;
      databasepassword; db1; db1234; db2; dba; dbpass; dbpassword; default;
      dell; demo; domain; domainpass; domainpassword; eric; exchange; fred;
      fuck; george; god; guest; hell; hello; home; homeuser; ian; ibm;
      internet; intranet; jen; joe; john; kate; katie; lan; lee; linux;
      login; loginpass; luke; mail; main; mary; mike; neil; nokia; none;
      null; oem; oeminstall; oemuser; office; oracle; orainstall; outlook;
      owner; pass; pass1234; passwd; password1; peter; pwd; qaz; qwe;
      qwerty; root; sam; sex; siemens; slut; sql; sqlpassoainstall; staff;
      student; sue; susan; system; teacher; technical; test; unix; user;
      web; win2000; win2k; win98; windows; winnt; winpass; winxp; www;
      wwwadmin; zxc



Exploit:
Sfrutta le seguenti vulnerabilit:
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Processo virale:
Crea uno script TFTP o FTP sulla macchina compromessa per scaricare il malware nella posizione remota.


Esecuzione remota:
Tenta di pianificare una esecuzione remota del malware, sulla macchina infettata recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: ded.b52kil**********
Porta: 6667
Canale: #MM#
Nickname: USA|%stringa casuale di nove caratteri%
Password: Bb

Server: wsw.t12**********
Porta: 7000
Canale: #MM#
Nickname: USA|%stringa casuale di nove caratteri%
Password: Bb



 Questo malware ha la capacit di recuperare ed inviare informazioni quali:
    • Immagine catturata dallo schermo
    • Immagine catturata dalla webcam
     Indirizzi email recuperati
    • Velocit della CPU
     Dettagli sui driver
    • Spazio libero su disco
    • Memoria libera
    • Informazioni sulla rete
    • Informazioni sui processi in corso
    • Dimensione della memoria
    • Directory di sistema
    • Informazioni sul sistema operativo Windows


 In pi ha la capacit di effettuare azioni quali:
     Lanciare un attacco DdoS ICMP
     Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS TCP
     Lancia un attacco DdoS UDP
    • Disattivare DCOM
    • Disattivare le condivisioni di rete
     disconnettere dal server IRC
    • Download di file
    • Modificare il registro
    • Attivare DCOM
    • Attivare le condivisioni di rete
    • Eseguire file
    • Connettersi al canale IRC
    • Terminare il processo
    • Abbandonare il canale IRC
    • Aprire condivisione remota
    • Eseguire un attacco DdoS
     Effettuare scansione della rete
    • Effettuare un reindirizzamento delle porte
     Registrare un servizio
    • Riavviare il sistema
    • Inviare email
     Inizia keylog
     Iniziare procedura di diffusione
    • Terminare il malware
    • Terminare il processo
     Aggiornarsi
    • Carica un file
     Visitare un sito web

 Processi terminati Prova a terminare i seguenti processi e a cancellare i file corrispondenti:
   • Bi11r54n4.exe; irun4.exe; d3dupdate.exe; rate.exe; ssate.exe;
      winsys.exe; winupd.exe; SysMonXP.exe; bbeagle.exe; Penis32.exe;
      teekids.exe; MSBLAST.exe; mscvb32.exe; sysinfo.exe; PandaAVEngine.exe;
      wincfg32.exetaskmon.exe; zonealarm.exe; navapw32.exe; navw32.exe;
      zapro.exe; msblast.exe


 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Windows Product ID

Le seguenti chiavi CD:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White;
      Command & Conquer Generals; Command and Conquer: Generals (Zero Hour);
      Command and Conquer: Red Alert 2; Command and Conquer: Tiberian Sun;
      Counter-Strike (Retail); Chrome; FIFA 2002; FIFA 2003; Freedom Force;
      Global Operations; Gunman Chronicles; Half-Life; Hidden & Dangerous 2;
      IGI 2: Covert Strike; Industry Giant 2; James Bond 007: Nightfire;
      Legends of Might and Magic; Medal of Honor: Allied Assault; Medal of
      Honor: Allied Assault: Breakthrough; Medal of Honor: Allied Assault:
      Spearhead; Nascar Racing 2002; Nascar Racing 2003; Need For Speed Hot
      Pursuit 2; Need For Speed: Underground; Neverwinter Nights;
      Neverwinter Nights (Hordes of the Underdark); Neverwinter Nights
      (Shadows of Undrentide); NHL 2003; NHL 2002; NOX; Rainbow Six III
      RavenShield; Shogun: Total War: Warlord Edition; Soldier of Fortune II
      - Double Helix; Soldiers Of Anarchy; The Gladiators; Unreal Tournament
      2003; Unreal Tournament 2004

Utilizza uno sniffer di rete che verifica la presenza delle seguenti stringhe:
   • :.login; :,login; :!login; :@login; :$login; :%login; :^login;
      :*login; :-login; :+login; :/login; :\login; :=login; :?login;
      :'login; :`login; :~login; : login; :.auth; :,auth; :!auth; :@auth;
      :$auth; :%auth; :^auth; :&auth; :*auth; :-auth; :+auth; :/auth;
      :\auth; :=auth; :?auth; :'auth; :`auth; :~auth; : auth; :.id; :,id;
      :!id; :@id; :$id; :%id; :^id; :&id; :*id; :-id; :+id; :/id; :\id;
      :=id; :?id; :'id; :`id; :~id; : id; :.hashin; :!hashin; :$hashin;
      :%hashin; :.secure; :!secure; :.l; :!l; :$l; :%l; :.x; :!x; :$x; :%x;
      :.syn; :!syn; :$syn; :%syn

Dopo aver visitato un sito web, che nel suo URL contiene la seguente sottostringa, viene avviata una procedura di tracciamento:
   • paypal

 Cattura:
     Battute di tastiera

 Varie Mutex:
Crea il seguente Mutex:
   • wmwm

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ivanes su venerdì 28 aprile 2006
Descrizione aggiornata da Irina Boldea su mercoledì 31 gennaio 2007

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.