Worm/Rbot.XN - Worm

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	Worm/Rbot.XN
Scoperto:	08/08/2005
Tipo:	Worm
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	499.712 Byte
Somma di controllo MD5:	336e4ef735bf545151b5cdd11ddd1d1d
Versione VDF:	6.31.01.68

Generale Metodi di propagazione:
   • Rete locale
   • Unità di rete mappata

Alias:
   • Kaspersky: Backdoor.Win32.Rbot.xn
   • TrendMicro: WORM_RBOT.BXP
   • Sophos: W32/Rbot-AOK
   • Grisoft: IRC/BackDoor.SdBot.HFN
   • VirusBuster: virus Worm.RBot.CFJ
   • Bitdefender: Backdoor.Rbot.XN

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Accesso e controllo del computer da parte di terzi

File Si copia alla seguente posizione:
• %SYSDIR%\%stringa casuale di tre caratteri%.exe

Cancella la copia di se stesso eseguita inizialmente.

Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows ASN Service"="%file eseguiti%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows ASN Service"="%file eseguiti%"

Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Licenses]
   • "{R7C0DB872A3F777C0}"=%valori esadecimali%
   • "{K7C0DB872A3F777C0}"=%valori esadecimali%
   • "{I5D8DDAB8BD72C6E7}"=%valori esadecimali%
   • "{05D8DDAB8BD72C6E7}"=%valori esadecimali%

– [HKLM\SOFTWARE\Microsoft\RFC1156Agent\CurrentVersion\Parameters]
   • "TrapPollTimeMilliSecs"=dword:00003a98

– [HKCR\CLSID\{22A6FF82-B3E0-94BB-5FCD-EA067B86810F}]

Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Valore precedente:
   • "EnableDCOM"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valore precedente:
   • "restrictanonymous"=%impostazioni definite dell'utente%
   • "restrictanonymoussam"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "restrictanonymous"=dword:00000001
   • "restrictanonymoussam"=dword:00000001

“Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
   • IPC$
   • ADMIN$
   • C$
   • C:\
   • D$
   • D:\

Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

– Una lista di Nomi utente e Password:
   • 12; 123; 1234; 2000; 2001; 2002; 2003; 2004; 12345; 123456; 1234567;
      12345678; 123456789; 1234567890; access; accounting; accounts; adm;
      admin; administrador; administrat; administrateur; administrator;
      admins; asd; backup; bill; bitch; blank; bob; brian; changeme; chris;
      cisco; compaq; computer; control; data; database; databasepass;
      databasepassword; db1; db1234; db2; dba; dbpass; dbpassword; default;
      dell; demo; domain; domainpass; domainpassword; eric; exchange; fred;
      fuck; george; god; guest; hell; hello; home; homeuser; hp; ian; ibm;
      internet; intranet; jen; joe; john; kate; katie; lan; lee; linux;
      login; loginpass; luke; mail; main; mary; mike; neil; nokia; none;
      null; oem; oeminstall; oemuser; office; oracle; orainstall; outlook;
      owner; pass; pass1234; passwd; password; password1; peter; pwd; qaz;
      qwe; qwerty; root; sa; sam; server; sex; siemens; slut; sql;
      sqlpassoainstall; staff; student; sue; susan; system; teacher;
      technical; test; unix; user; web; win2000; win2k; win98; windows;
      winnt; winpass; winxp; www; wwwadmin; xp; zxc

Exploit:
Sfrutta le seguenti vulnerabilità:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: 94.amdweb**********.com
Porta: 6667
Password del server: R4DRR4KZ6ZD3
Canale: #asn
Nickname: sMB-%stringa casuale di sei caratteri%
Password: NdIVyk5D

– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Velocità della CPU
    • Utente corrente
    • Dettagli sui driver
    • Spazio libero su disco
    • Memoria libera
    • Uptime del malware
    • Informazioni sulla rete
    • Informazioni sui processi in corso
    • Dimensione della memoria
    • Nome Utente
    • Attività locale dell'utente
    • Informazioni sul sistema operativo Windows

– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • Lanciare un attacco DdoS ICMP
    • Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS UDP
    • Disattivare DCOM
    • Disattivare le condivisioni di rete
    • disconnettere dal server IRC
    • Download di file
    • Attivare DCOM
    • Attivare le condivisioni di rete
    • Eseguire file
    • Connettersi al canale IRC
    • Terminare il processo
    • Abbandonare il canale IRC
    • Aprire condivisione remota
    • Eseguire un attacco DdoS
    • Effettuare scansione della rete
    • Registrare un servizio
    • Riavviare il sistema
    • Inviare email
    • Arrestare il sistema
    • Terminare il malware
    • Terminare il processo
    • Aggiornarsi
    • Carica un file

Varie Mutex:
Crea i seguenti Mutex:
• rzasn
• RALAAD91808

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• Armadillo

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Daniel Constantin il Tue, 04 Apr 2006 12:14 (GMT+1)
Descrizione aggiornata da Daniel Constantin il Tue, 04 Apr 2006 14:41 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro