Nume:Worm/IRCBot.EW
Descoperit pe data de:23/08/2005
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:8.204 Bytes
MD5:d5f5c6768beea05a6c0d72ecb69d27d1
Versiune VDF:6.31.1.166

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Symantec: W32.Esbot.A
   •  Mcafee: W32/IRCbot.worm.gen
   •  Kaspersky: Backdoor.Win32.IRCBot.ew
   •  F-Secure: W32/Ircbot.T
   •  Bitdefender: Backdoor.Ircbot.EW


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Reduce setarile de securitate
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\mousemm.exe



Sterge copia initiala a virusului.



Este creat fisierul:

– %WINDIR%\debug\dcpromo.log

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\mousemm]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"=%setarile utilizatorului%
     "DisplayName"="Mouse Movement Monitor"
     "ObjectName"="LocalSystem"
     "FailureActions"=%setarile utilizatorului%
     "Description"="Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability."

– [HKLM\SYSTEM\CurrentControlSet\Services\mousemm\Security]
   • "Security"=%setarile utilizatorului%
     

– [HKLM\SYSTEM\CurrentControlSet\Services\mousemm\Enum]
   • "0"="Root\\LEGACY_MOUSEMM\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Vechea valoare:
   • "EnableDCOM"=%setarile utilizatorului%
   Noua valoare:
   • "EnableDCOM"="n"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Vechea valoare:
   • "restrictanonymous"=%setarile utilizatorului%
   Noua valoare:
   • "restrictanonymous"=dword:00000001

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS05-039 (Vulnerability in Plug and Play)

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: **********.is-a-fag.net
Port: 18067
Canal: #p1
Nick: p1-%sir de 8 caractere aleatoare%
Parola: 8mfpdofw

Server: **********.legi0n.net
Port: 18067
Canal: #p1
Nick: p1-%sir de 8 caractere aleatoare%
Parola: 8mfpdofw


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS UDP
    • descarcare fisier
    • executarea unui fisier
    • terminare proces
    • executare atac DDoS
    • Scaneaza reteaua
    • Porneste rutina de raspandire
    • terminare proces

 Backdoor Deschide portul

%fisier executat% pe portul TCP 30722 pentru a oferi functionalitate de backdoor.

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • explorer.exe

   In cazul esecului operatiunii, malware-ul continua sa ruleze.

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • mousemm

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • MEW 11

Descrição enviada por Razvan Olteanu em quinta-feira, 1 de setembro de 2005
Descrição atualizada por Razvan Olteanu em quinta-feira, 1 de setembro de 2005

Voltar . . . .