VírusWorm/IRCBot.EX
Data em que surgiu:19/08/2005
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:8.275 Bytes
MD5 checksum:38b3ca593642abdf5a1cfe9183040ca6
Versão VDF:6.31.1.150

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.ex


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\ssl.exe



Apaga a cópia executada inicialmente.



É criado o seguinte ficheiro:

%WINDIR%\debug\dcpromo.log

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– HKLM\system\currentcontrolset\services\ssl
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "DisplayName"="Microsoft SSL"
   • "ObjectName"="LocalSystem"
   • "Description"="Provides communication security between clients and servers over TCP. If this service is stopped, TCP security between clients and servers on the network will be impaired. If this service is disabled, any services that explicitly depend on it will fail to"

– HKLM\system\currentcontrolset\services\ssl\Enum
   • "0"="Root\\LEGACY_SSL\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\system\currentcontrolset\enum\root\legacy_ssl
   • "NextInstance"=dword:00000001

– HKLM\system\currentcontrolset\enum\root\legacy_ssl\0000
   • "Service"="ssl"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Microsoft SSL"

– HKLM\system\currentcontrolset\enum\root\legacy_ssl\0000\Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="ssl"

– HKLM\system\currentcontrolset\services\ssl
   • "ImagePath"= %WINDIR%\ssl.exe

– HKLM\system\currentcontrolset\services\ssl
   • "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,74,00,20,\
      00,01,00,00,00,00,00,00,00

– HKLM\system\currentcontrolset\services\ssl\Security
   • "Security"=%WINDIR%\ssl.exe



Altera as seguintes chaves de registo do Windows:

– HKLM\system\controlset001\control\servicecurrent
   Valor anterior:
   • @=dword:%definições do utilizador %
   Valor recente:
   • @=dword:0000000e

– HKLM\software\microsoft\ole
   Valor anterior:
   • "EnableDCOM"="%definições do utilizador %"
   Valor recente:
   • "EnableDCOM"="n"

– HKLM\system\currentcontrolset\control\lsa
   Valor anterior:
   • "restrictanonymous"=dword:%definições do utilizador %
   Valor recente:
   • "restrictanonymous"=dword:00000001

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Exploit:
Faz uso do seguinte Exploit:
– MS04-011 (LSASS Vulnerability)


Criação de endereços IP:
Cria endereços IP aleatórios e tenta estabelecer uma ligação com eles.

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: **********.wallloan.com
Porta: 18067
Canal #p5
Nickname: p5-<%uma série de caracteres aleatórios%>
Palavra-chave wolnqjnr


– Para além disso tem a capacidade de executar as seguintes acções:
    • Download de ficheiros
    • Executa o ficheiro
    • Ataque de Negação de Serviços (ataque DoS)
    • Executa pesquisas na rede
    • Actualiza-se a ele próprio

Descrição enviada por Sergiu Oprea em sexta-feira, 26 de agosto de 2005
Descrição atualizada por Sergiu Oprea em terça-feira, 30 de agosto de 2005

Voltar . . . .