VírusWorm/IRCBot.EV.1
Data em que surgiu:24/08/2005
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:38.400 Bytes
MD5 checksum:7551ca56b533e6ba86d3c0b2b4c8485e
Versão VDF:6.31.1.158

 Vulgarmente Meios de transmissão:
   • Rede local
   • Unidade de rede


Alias:
   •  Symantec: W32.IRCBot
   •  Kaspersky: Backdoor.Win32.IRCBot.ev
   •  TrendMicro: BKDR_IRCBOT.AS
   •  Sophos: W32/Sdbot-Fam
   •  VirusBuster: Worm.SdBot.BDZ
   •  Bitdefender: BehavesLike:Win32.IRC-Backdoor


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\WOWCRAK.EXE

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "MEsnemd"="wowcrak.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "MEsnemd"="wowcrak.exe"

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • C$\windows\system32\
   • C$\Documents and Settings\All Users\Documents\
   • C$\shared\
   • C$\winnt\system32\
   • ADMIN$\system32\


Usa a seguinte informação de login para ganhar acesso à máquina remota:

– A seguinte lista de palavras-chave:
   • 123qwe123; zaqxsw; zaq123; motdepass; **********; billgate;
      billgates; fred; bill; intranet; staff; teacher; student1; student;
      user1; afro; turnip; glen; freddy; internet; lan; nokia; ctx; 666;
      qweasdzxc; zxcvbnm; 123qaz; 123qwe; qwe123; qazwsx; qweasd; zxc123;
      pass1234; pwd; pass; passwd; admin; administrador; administrateur;
      administrator



Exploit:
Faz uso do seguinte Exploit:
– MS04-011 (LSASS Vulnerability)

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: **********.mybizz.info
Porta: 1125
Canal #mm
Nickname: E%oito caracteres aleatórios%


– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Desliga-se do servidor de IRC
    • Activa partilhas de rede
    • Ligação ao canal IRC
    • Abandona canais IRC
    • Inicia a rotina de propagação

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • vwevqwdw

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com os seguintes empacotadores de runtime
   • Morphine
   • FSG

Descrição enviada por Alexandru Tudor em quinta-feira, 25 de agosto de 2005
Descrição atualizada por Alexandru Tudor em segunda-feira, 29 de agosto de 2005

Voltar . . . .