VírusDR/IRCBot.8184.B
Data em que surgiu:19/08/2005
Tipo:Dropper
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:8.219 Bytes
MD5 checksum:84f9161a7580ca8ae571c41230eaa77d
Versão VDF:6.31.1.134

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Symantec: W32.Esbot.B
   •  Mcafee: W32/Sdbot.worm.gen.by
   •  Kaspersky: Backdoor.Win32.IRCBot.ex
   •  TrendMicro: WORM_ESBOT.C
   •  F-Secure: W32/Ircbot.S
   •  Bitdefender: Win32.Worm.EsBot.B


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\wpa.exe



Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

%SYSDIR%\wpa.dbl
%WINDIR%\debug\dcpromo.log



Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://**********.com/p5.jpg
Encontra-se no disco rígido: %temporary internet files%\p5.jpg Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– [HKLM\system\currentcontrolset\services\wpa]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "DisplayName"="Windows Product Activation"
   • "ObjectName"="LocalSystem"

– [HKLM\system\currentcontrolset\enum\root\legacy_wpa]
   • "NextInstance"=dword:00000001

– [HKLM\system\currentcontrolset\enum\root\legacy_wpa\0000]
   • "Service"="wpa"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Windows Product Activation"

– [HKLM\system\currentcontrolset\enum\root\legacy_wpa\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="wpa"

– [HKLM\system\currentcontrolset\services\wpa]
   • "ImagePath"="%SYSDIR%\wpa.exe"

– [HKLM\system\currentcontrolset\services\wpa\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

– [HKLM\system\currentcontrolset\services\wpa]
   • "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,\
      00,01,00,00,00,00,00,00,00

– [HKLM\system\currentcontrolset\services\wpa]
   • "Description"="Windows Product Activation is an anti-piracy technology designed to verify that software products have been legitimately licensed."



Altera as seguintes chaves de registo do Windows:

– [HKLM\system\controlset001\control\servicecurrent]
   Valor anterior:
   • @=dword:%definições do utilizador %
   Valor recente:
   • @=dword:0000000e

– [HKLM\software\microsoft\ole]
   Valor anterior:
   • "EnableDCOM"="%definições do utilizador %"
   Valor recente:
   • "EnableDCOM"="n"

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Exploit:
Faz uso do seguinte Exploit:
– MS05-039 (Vulnerability in Plug and Play)


Criação de endereços IP:
Cria endereços IP aleatórios e tenta estabelecer uma ligação com eles.

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: 68.194.76.**********
Porta: 18067
Canal #p4
Nickname: p4-%uma série de caracteres aleatórios%
Palavra-chave u79duhhk


– Para além disso tem a capacidade de executar as seguintes acções:
    • Download de ficheiros
    • Executa o ficheiro

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Sergiu Oprea em segunda-feira, 22 de agosto de 2005
Descrição atualizada por Sergiu Oprea em terça-feira, 30 de agosto de 2005

Voltar . . . .