VírusWorm/Rbot.79872.3
Data em que surgiu:07/09/2005
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:79.872 Bytes
MD5 checksum:b194501e863d4007caccaa682e607aed
Versão VDF:6.31.1.216

 Vulgarmente Meios de transmissão:
   • Rede local
   • Unidade de rede


Alias:
   •  VirusBuster: Worm.RBot.CJK
   •  Bitdefender: Backdoor.RBot.B4FF80F8


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\google.exe



Apaga a cópia executada inicialmente.

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "google"="google.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "google"="google.exe"



Altera as seguintes chaves de registo do Windows:

– HKLM\SOFTWARE\Microsoft\Ole
   Valor anterior:
   • "EnableDCOM"="%definições do utilizador %"
   Valor recente:
   • "EnableDCOM"="N"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Valor anterior:
   • "restrictanonymous"=%definições do utilizador %
     "restrictanonymoussam"=%definições do utilizador %
   Valor recente:
   • "restrictanonymous"=dword:00000001
     "restrictanonymoussam"=dword:00000001

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • C$
   • D$"
   • ADMIN$
   • IPC$


Usa a seguinte informação de login para ganhar acesso à máquina remota:

–Nomes de utilizador e palavras-chave guardadas.

– A seguinte lista de nomes de utilizadores:
   • accounting; accounts; admin; administrador; administrat;
      administrateur; administrator; admins; bill; bob; brian; chris;
      computer; eric; fred; george; guest; home; homeuser; ian; internet;
      jen; joe; john; kate; katie; lee; luke; mary; mike; neil; oem;
      oeminstall; oemuser; owner; peter; root; sam; staff; student; sue;
      susan; teacher; user; wwwadmin

– A seguinte lista de palavras-chave:
   • 7; 123; 1234; 2000; 2001; 2002; 2003; 2004; 12345; 123456; 1234567;
      12345678; 123456789; 1234567890; access; accounting; accounts; adm;
      asd; backup; bitch; blank; changeme; cisco; compaq; control; data;
      database; databasepass; databasepassword; db1; db1234; db2; dba;
      dbpass; dbpassword; default; dell; demo; domain; domainpass;
      domainpassword; exchange; fuck; god; hell; hello; ibm; internet;
      intranet; lan; linux; login; loginpass; mail; main; nokia; none; null;
      office; oracle; orainstall; outlook; pass; pass1234; passwd; password;
      password1; pwd; qaz; qwe; qwerty; server; sex; siemens; slut; sql;
      sqlpassoainstall; system; technical; test; unix; web; win2000; win2k;
      win98; windows; winnt; winpass; winxp; www; zxc



Exploit:
Faz uso dos seguintes Exploits:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Criação de endereços IP:
Cria endereços IP aleatórios enquanto mantém os primeiros dois octetos do seu próprio endereço. Depois tenta estabelecer uma ligação com os endereços criados.


Processo de infecção:
Cria um script TFTP ou FTP na máquina a atacada para permitir o download do malware da máquina atacante.
A máquina a atacada efectua o download do malware da máquina atacante.


Lentidão:
–Cria múltiplos processos de infecção:
– Dependendo da sua largura da banda poderá notar uma baixa de velocidade da rede. Como a actividade de rede para este malware é de nível médio se tiver uma ligação de banda larga o utilizador pode não se aperceber de nada.
– O utilizador também pode notar uma pequena baixa na velocidade devido aos múltiplos processos de rede criados.

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: disclosure**********.server.us
Porta: 40000
Canal #support
Nickname: [XP]|%random characters string%
Palavra-chave server



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Palavras-chave armazenadas
    • Velocidade do CPU
    • Utilizador Actual
    • Espaço disponível no disco
    • Memória disponível
    • Tempo de vida do malware
    • Informações sobre a rede
    • Informação sobre processos em execução
    • Capacidade da memória
    • Nome de utilizador


– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Lança DDoS ICMP floods
    • Lança DDoS SYN floods
    • Lança DDoS TCP floods
    • Lança DDoS UDP floods
    • Desactiva o DCOM
    • Desactiva partilhas de rede
    • Desliga-se do servidor de IRC
    • Download de ficheiros
    • Editar o registo do Windows
    • Activa partilhas de rede
    • Executa o ficheiro
    • Ligação ao canal IRC
    • Abandona canais IRC
    • Abre ligações remotas
    • Ataque de Negação de Serviços (ataque DoS)
    • Executa pesquisas na rede
    • Reinicia
    • Envia emails
    • Inicia a rotina de propagação
    • Termina processos
    • Actualiza-se a ele próprio

 Backdoor São abertas as seguintes portas:

%SYSDIR%\google.exe numa porta TCP 25000 Por forma a fornecer um servidor FTP.
%SYSDIR%\google.exe numa porta UDP 89 para fornecer um servidor de TFTP.

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • afffff

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com os seguintes empacotadores de runtime
   • UPack;
   • ASPack;
   • PE_Patch.Upolyx;
   • UPX

Descrição enviada por Irina Boldea em quarta-feira, 7 de setembro de 2005
Descrição atualizada por Irina Boldea em quinta-feira, 8 de setembro de 2005

Voltar . . . .