VírusWorm/Aimbot.158720
Data em que surgiu:08/09/2005
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:158.720 Bytes
MD5 checksum:82B7C1BCD80C7B8D07DF6B1D005EBEB1
Versão VDF:6.31.01.134

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Mcafee: W32/Spybot.worm.gen.o
   •  Kaspersky: Trojan.Win32.Pakes
   •  TrendMicro: WORM_AGOBOT.AVX
   •  Bitdefender: Trojan.Pakes.Y


Sistemas Operativos:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Aproveita-se de vulnerabilidades do software
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\Internet.exe



Apaga a cópia executada inicialmente.

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Micrcoft Updat"="Internet.exe"



É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\OLE]
   • "Micrcoft Updat"="Internet.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Micrcoft Updat"="Internet.exe"

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • IPC$
   • ADMIN$
   • C$


Exploit:
Faz uso dos seguintes Exploits:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)


Criação de endereços IP:
Cria endereços IP aleatórios enquanto mantém o primeiro octeto do seu próprio endereço. Depois tenta estabelecer uma ligação com os endereços criados.


Processo de infecção:
Cria um script TFTP na máquina a atacada para permitir o download do malware da máquina atacante.


Lentidão:
– Cria o seguinte número de processos de infecção: 300
– Dependendo da sua largura da banda poderá haver uma leve baixa de velocidade na sua rede. Como a actividade da rede para este malware é baixo o utilizador pode não notar nada.
– O utilizador também pode notar uma leve baixa na velocidade devido aos múltiplos processos de rede criados.

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: fuckrx.**********end.net
Porta: 2001
Canal #MoTjWeL# moting
Nickname: [%uma série de caracteres aleatórios%]|%cinco caracteres aleatórios%



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Captura do ecrã
    • Imagens capturas a partir de webcam
    • Velocidade do CPU
    • Utilizador Actual
    • Espaço disponível no disco
    • Memória disponível
    • Capacidade da memória
    • Directório de sistema
    • Nome de utilizador
    • Directório do Windows


– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Lança DDoS ICMP floods
    • Lança DDoS SYN floods
    • Lança DDoS TCP floods
    • Lança DDoS UDP floods
    • Ligação ao canal IRC
    • Abandona canais IRC
    • Executa pesquisas na rede

 Backdoor São abertas as seguintes portas:

%SYSDIR%\Internet.exe numa porta TCP aleatória Por forma a fornecer um servidor FTP.
%SYSDIR%\Internet.exe numa porta UDP 69 para fornecer um servidor de TFTP.

 Roubos de informação Tenta roubar a seguinte informação:
– Windows Product ID

– As seguintes CD Keys:
   • Neverwinter Nights (Hordes of the Underdark); Neverwinter Nights
      (Shadows of Undrentide); Neverwinter Nights"; Soldier of Fortune II -
      Double Helix; Hidden & Dangerous 2; Chrome; NOX; Command and Conquer:
      Red Alert 2; Command and Conquer: Tiberian Sun; Rainbow Six III
      RavenShield; Nascar Racing 2003; Nascar Racing 2002; NHL 2003; NHL
      2002; FIFA 2003; FIFA 2002; Shogun: Total War: Warlord Edition; Need
      For Speed: Underground; Need For Speed Hot Pursuit 2; Medal of Honor:
      Allied Assault: Spearhead; Medal of Honor: Allied Assault:
      Breakthrough; Medal of Honor: Allied Assault; Command and Conquer:
      Generals; James Bond 007: Nightfire; Command and Conquer: Generals
      (Zero Hour); Black and White; Battlefield Vietnam; Battlefield 1942
      (Secret Weapons of WWII); Battlefield 1942 (Road To Rome); Battlefield
      1942; Freedom Force; IGI 2: Covert Strike; Unreal Tournament 2004;
      Unreal Tournament 2003; Soldiers Of Anarchy; Legends of Might and
      Magic; Industry Giant 2; Half-Life; Gunman Chronicles; The Gladiators;
      Counter-Strike (Retail)

– Usa um sniffer de rede para pesquisar os seguintes textos:
   • : auth; : login; :!auth; :!hashin; :!login; :!secure; :!syn; :$auth;
      :$hashin; :$login; :$syn; :%auth; :%hashin; :%login; :%syn; :&auth;
      :&login; : auth; : login; :,auth; :,login; :.auth; :.hashin; :.login;
      :.secure; :.syn; :/auth; :/login; :?auth; :?login; :@auth; :@login;
      :\auth; :\login; :~auth; :~login; :+auth; :+login; :=auth; :=login;
      :'auth; :-auth; :'login; :-login; paypal; PAYPAL; paypal.com;
      PAYPAL.COM

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • [MoTjWeL]

Descrição enviada por Dragos Tomescu em quinta-feira, 8 de setembro de 2005
Descrição atualizada por Oliver Auerbach em quinta-feira, 13 de abril de 2006

Voltar . . . .