VírusWorm/RBot.72262
Data em que surgiu:30/08/2005
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:72,262 Bytes
MD5 checksum:5378ccf46e1f5843d8cc1317452f8c39
Versão VDF:6.30.0.222

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Symantec: W32.Spybot.Worm
   •  Mcafee: W32/Sdbot.worm.gen.l
   •  Kaspersky: Backdoor.Win32.Rbot.gen
   •  TrendMicro: WORM_RBOT.BIQ
   •  Sophos: W32/Rbot-ADV
   •  VirusBuster: Worm.Rbot.BRI
   •  Bitdefender: Backdoor.Rbot.JB


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Baixa as definições de segurança
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %sysdir%\SystemDll.exe



Apaga a cópia executada inicialmente.

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft DLL Extensions"="SystemDll.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft DLL Extensions"="SystemDll.exe"



Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Microsoft DLL Extensions"="SystemDll.exe"



Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Valor anterior:
   • %definições do utilizador %
   Valor recente:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valor anterior:
   • %definições do utilizador %
   Valor recente:
   • "restrictanonymous"=dword:00000001

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • c$\windows\system32
   • c$\winnt\system32
   • Admin$\system32


Usa a seguinte informação de login para ganhar acesso à máquina remota:

– A seguinte lista de nomes de utilizadores:
   • adm; db2; oracle; dba; database; default; guest; wwwadmin; teacher;
      student; owner; computer; staff; admins; administrat; administrateur;
      administrador; administrator

– A seguinte lista de palavras-chave:
   • intranet; lan; main; winpass; blank; office; control; nokia; siemens;
      compaq; dell; cisco; ibm; orainstall; sqlpassoainstall; sql; db1234;
      db1; domain; hello; hell; god; sex; slut; bitch; fuck; exchange;
      backup; technical; loginpass; login; mary; katie; kate; george; eric;
      chris; ian; neil; lee; brian; susan; sue; sam; luke; peter; john;
      mike; bill; fred; joe; jen; bob; qwe; zxc; asd; qaz; win2000; winnt;
      winxp; win2k; win98; windows; oeminstall; oemuser; oem; user;
      homeuser; home; accounting; accounts; internet; www; web; outlook;
      mail; qwerty; null; server; system; changeme; linux; unix; demo; none;
      test; 2004; 2003; 2002; 2001; 2000; 1234567890; 123456789; 12345678;
      1234567; 123456; 12345; 1234; 123; 007; databasepassword; data;
      databasepass; dbpassword; dbpass; access; domainpassword; domainpass;
      pwd; pass; pass1234; passwd; password; password1



Exploit:
Faz uso do seguinte Exploit:
– MS03-026 (Buffer Overrun in RPC Interface)


Criação de endereços IP:
Cria endereços IP aleatórios e tenta estabelecer uma ligação com eles.


Processo de infecção:
Cria um script TFTP na máquina a atacada para permitir o download do malware da máquina atacante.

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: sql.**********ggazpwn.net
Porta: 4447
Canal #MSNOWN#
Nickname: USA|<%cinco caracteres aleatórios%>
Palavra-chave durty

Servidor: www.**********age.net
Porta: 4447
Canal #MSNOWN#
Nickname: USA|<%cinco caracteres aleatórios%>
Palavra-chave durty

Servidor: unknown.**********net.net
Porta: 4447
Canal #MSNOWN#
Nickname: USA|<%cinco caracteres aleatórios%>
Palavra-chave durty



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Captura do ecrã
    • Imagens capturas a partir de webcam
    • Utilizador Actual
    • Espaço disponível no disco
    • Memória disponível
    • Tempo de vida do malware
    • Informações sobre a rede
    • Informação sobre processos em execução
    • Nome de utilizador
    • Actividade do utilizador


– Para além disso tem a capacidade de executar as seguintes acções:
    • Lança DDoS ICMP floods
    • Lança DDoS SYN floods
    • Lança DDoS TCP floods
    • Lança DDoS UDP floods
    • Desactiva o DCOM
    • Desactiva partilhas de rede
    • Activa o DCOM
    • Activa partilhas de rede
    • Executa o ficheiro
    • Termina processos
    • Abre ligações remotas
    • Ataque de Negação de Serviços (ataque DoS)
    • Executa pesquisas na rede
    • Reinicia
    • Envia emails
    • Desliga o sistema
    • Inicia a rotina de propagação
    • Termina processos
    • Actualiza-se a ele próprio
    • Upload de ficheiros

 Terminar o processo A seguinte lista de processos são terminados:
   • i11r54n4.exe; irun4.exe; d3dupdate.exe; rate.exe; ssate.exe;
      winsys.exe; winupd.exe; SysMonXP.exe; bbeagle.exe; Penis32.exe;
      teekids.exe; MSBLAST.exe; mscvb32.exe; sysinfo.exe; PandaAVEngine.exe;
      wincfg32.exetaskmon.exe; zonealarm.exe; navapw32.exe; navw32.exe;
      zapro.exe; msblast.exe; netstat.exe; msconfig.exe; regedit.exe


 Roubos de informação Tenta roubar a seguinte informação:

– As seguintes CD Keys:
   • Neverwinter Nights (Hordes of the Underdark); Neverwinter Nights
      (Shadows of Undrentide); Neverwinter Nights; Soldier of Fortune II -
      Double Helix; Hidden & Dangerous 2; Chrome; NOX; Command and Conquer:
      Red Alert 2; Command and Conquer: Red Alert; Command and Conquer:
      Tiberian Sun; Rainbow Six III RavenShield; Nascar Racing 2003; Nascar
      Racing 2002; NHL 2003; NHL 2002; FIFA 2003; FIFA 2002; Shogun: Total
      War: Warlord Edition; Need For Speed: Underground; Need For Speed Hot
      Pursuit 2; Medal of Honor: Allied Assault: Spearhead; Medal of Honor:
      Allied Assault: Breakthrough; Medal of Honor: Allied Assault; Global
      Operations; Command and Conquer: Generals; James Bond 007: Nightfire;
      Command and Conquer: Generals (Zero Hour); Black and White;
      Battlefield Vietnam; Battlefield 1942 (Secret Weapons of WWII);
      Battlefield 1942 (Road To Rome); Battlefield 1942; Freedom Force; IGI
      2: Covert Strike; Unreal Tournament 2004; Unreal Tournament 2003;
      Soldiers Of Anarchy; Legends of Might and Magic; Industry Giant 2;
      Half-Life; Gunman Chronicles; The Gladiators; Counter-Strike (Retail)

– É iniciada uma rotina de logging depois de visitar um dos seguintes Web sites, que contenha um dos seguintes textos no URL:
   • paypal
   • PAYPAL
   • paypal.com
   • PAYPAL.COM

– Captura:
    • Informação de login

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • Susie091

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Iulia Diaconescu em quarta-feira, 31 de agosto de 2005
Descrição atualizada por Iulia Diaconescu em segunda-feira, 19 de setembro de 2005

Voltar . . . .