Full description

Vírus	TR/IRCBot.LZ.4
Data em que surgiu:	26/09/2005
Tipo:	Trojan
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Médio
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	83.436 Bytes
MD5 checksum:	f110d9ac3ed4e96d3d25db7a5d93d99d
Versão VDF:	6.32.0.44

Vulgarmente Meio de transmissão:
   • Rede local

Alias:
   • Symantec: Backdoor.Sdbot
   • Kaspersky: Backdoor.Win32.Agobot.afp
   • TrendMicro: WORM_SDBOT.CHG
   • F-Secure: W32/Sdbot.MBM
   • VirusBuster: Worm.SdBot.BJL
   • Bitdefender: Backdoor.RBot.CBS

Sistemas Operativos:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega ficheiros
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\winsvc32.exe

Apaga a cópia executada inicialmente.

São criados os seguintes ficheiros:

– Ficheiros temporários que poderam ser apagados mais tarde:
   • %TEMPDIR%\oo.reg
   • c:\a.bat

Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Services"="winsvc32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows Services"="winsvc32.exe"

São adicionadas as seguintes chaves ao registo:

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
   • "AllowUnqualifiedQuery"=dword:00000000
   • "PrioritizeRecordData"=dword:00000001
   • "TCP1320Opts"=dword:00000003
   • "KeepAliveTime"=dword:00023280
   • "BcastQueryTimeout"=dword:000002ee
   • "BcastNameQueryCount"=dword:00000001
   • "CacheTimeout"=dword:0000ea60
   • "Size/Small/Medium/Large"=dword:00000003
   • "LargeBufferSize"=dword:00001000
   • "SynAckProtect"=dword:00000002
   • "PerformRouterDiscovery"=dword:00000000
   • "EnablePMTUBHDetect"=dword:00000000
   • "FastSendDatagramThreshold "=dword:00000400
   • "StandardAddressLength "=dword:00000018
   • "DefaultReceiveWindow "=dword:00004000
   • "DefaultSendWindow"=dword:00004000
   • "BufferMultiplier"=dword:00000200
   • "PriorityBoost"=dword:00000002
   • "IrpStackSize"=dword:00000004
   • "IgnorePushBitOnReceives"=dword:00000000
   • "DisableAddressSharing"=dword:00000000
   • "AllowUserRawAccess"=dword:00000000
   • "DisableRawSecurity"=dword:00000000
   • "DynamicBacklogGrowthDelta"=dword:00000032
   • "FastCopyReceiveThreshold"=dword:00000400
   • "LargeBufferListDepth"=dword:0000000a
   • "MaxActiveTransmitFileCount"=dword:00000002
   • "MaxFastTransmit"=dword:00000040
   • "OverheadChargeGranularity"=dword:00000001
   • "SmallBufferListDepth"=dword:00000020
   • "SmallerBufferSize"=dword:00000080
   • "TransmitWorker"=dword:00000020
   • "DNSQueryTimeouts" =hex(7):31,00,00,00,32,00,00,00,32,00,00,00,34,00,00,00,38,00,00,00,30,00,00,00,00,00
   • "DefaultRegistrationTTL"=dword:00000014
   • "DisableReplaceAddressesInConflicts"=dword:00000000
   • "DisableReverseAddressRegistrations"=dword:00000001
   • "UpdateSecurityLevel "=dword:00000000
   • "DisjointNameSpace"=dword:00000001
   • "QueryIpMatching"=dword:00000000
   • "NoNameReleaseOnDemand"=dword:00000001
   • "EnableDeadGWDetect"=dword:00000000
   • "EnableFastRouteLookup"=dword:00000001
   • "MaxFreeTcbs"=dword:000007d0
   • "MaxHashTableSize"=dword:00000800
   • "SackOpts"=dword:00000001
   • "Tcp1323Opts"=dword:00000003
   • "TcpMaxDupAcks"=dword:00000001
   • "TcpRecvSegmentSize"=dword:00000585
   • "TcpSendSegmentSize"=dword:00000585
   • "TcpWindowSize"=dword:0007d200
   • "DefaultTTL"=dword:00000030
   • "TcpMaxHalfOpen"=dword:0000004b
   • "TcpMaxHalfOpenRetried"=dword:00000050
   • "TcpTimedWaitDelay"=dword:00000000
   • "MaxNormLookupMemory"=dword:00030d40
   • "FFPControlFlags"=dword:00000001
   • "FFPFastForwardingCacheSize"=dword:00030d40
   • "MaxForwardBufferMemory"=dword:00019df7
   • "MaxFreeTWTcbs"=dword:000007d0
   • "GlobalMaxTcpWindowSize"=dword:0007d200
   • "EnablePMTUDiscovery"=dword:00000001
   • "ForwardBufferMemory"=dword:00019df7

Altera as seguintes chaves de registo do Windows:

– [HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
   Valor anterior:
   • "TransportBindName"=%definições do utilizador %
   Valor recente:
   • "TransportBindName"=""

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • "Start"=%definições do utilizador %
   Valor recente:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Valor anterior:
   • "Start"=%definições do utilizador %
   Valor recente:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\ControlSet001\Services\wscsvc]
   Valor anterior:
   • "Start"=%definições do utilizador %
   Valor recente:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valor anterior:
   • "restrictanonymous"=%definições do utilizador %
   Valor recente:
   • "restrictanonymous"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\
   Protocols\PCT1.0\Server]
   Valor anterior:
   • "Enabled"=%definições do utilizador %
   Valor recente:
   • "Enabled"=hex:00

– [HKLM\SOFTWARE\Microsoft\Ole]
   Valor anterior:
   • "EnableDCOM"="%definições do utilizador %
     "EnableRemoteConnect"="%definições do utilizador %
   Valor recente:
   • "EnableDCOM"="N"
     "EnableRemoteConnect"="N"


– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   Valor anterior:
   • "AutoShareWks"=%definições do utilizador %
     "AutoShareServer"=%definições do utilizador %
   Valor recente:
   • "AutoShareWks"=dword:00000000
     "AutoShareServer"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
   Valor anterior:
   • "NameServer"=""%definições do utilizador %
     "ForwardBroadcasts"=%definições do utilizador %
     "IPEnableRouter"=%definições do utilizador %
     "Domain"=%definições do utilizador %
     "SearchList"=%definições do utilizador %
     "UseDomainNameDevolution"=%definições do utilizador %
     "EnableICMPRedirect"=%definições do utilizador %
     "DeadGWDetectDefault"=%definições do utilizador %
     "DontAddDefaultGatewayDefault"=%definições do utilizador %
     "EnableSecurityFilters"=%definições do utilizador %
   Valor recente:
   • "NameServer"=""
     "ForwardBroadcasts"=dword:00000000
     "IPEnableRouter"=dword:00000000
     "Domain"=""
     "SearchList"=""
     "UseDomainNameDevolution"=dword:00000001
     "EnableICMPRedirect"=dword:00000000
     "DeadGWDetectDefault"=dword:00000001
     "DontAddDefaultGatewayDefault"=dword:00000000
     "EnableSecurityFilters"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Valor anterior:
   • "MaxConnectionsPer1_0Server"=%definições do utilizador %
     "MaxConnectionsPerServer"=%definições do utilizador %
   Valor recente:
   • "MaxConnectionsPer1_0Server"=dword:00000050
     "MaxConnectionsPerServer"=dword:00000050

Infecção da rede Usa a seguinte informação de login para ganhar acesso à máquina remota:

– A seguinte lista de nomes de utilizadores:
   • administrator; administrador; administrateur; administrat; admins;
      admin; staff; computer; owner; student; teacher; wwwadmin; guest;
      default; database; oracle; linux; admin; ADMIN; Admin; admin123;
      Administrador; Administrateur; administrator; ADMINISTRATOR;
      Administrator; guest; Guest; default; DEFAULT; Default; LOCAL

– A seguinte lista de palavras-chave:
   • password; PASSWORD; Password; system; SYSTEM; GUEST; ADMIN; PASSWORD;
      SHARE; WRITE; FILES; ACCESS; BACKUP; SYSTEM; SERVER; LOCAL; passwd;
      database; abc123; xxxxx; xxxxxx; xxxxxxx; xxxxxxxx; xxxxxxxxx; 00000;
      000000

IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: 152.23.204.55
Porta: 4891
Canal #update
Nickname: USA-%cinco caracteres aleatórios%
Palavra-chave w32z

– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Captura do ecrã
    • Imagens capturas a partir de webcam
    • Velocidade do CPU
    • Utilizador Actual
    • Espaço disponível no disco
    • Memória disponível
    • Informações sobre a rede
    • Informação sobre processos em execução
    • Capacidade da memória
    • Nome de utilizador

– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Lança DDoS ICMP floods
    • Lança DDoS SYN floods
    • Lança DDoS TCP floods
    • Lança DDoS UDP floods
    • Desactiva o DCOM
    • Desactiva partilhas de rede
    • Desliga-se do servidor de IRC
    • Download de ficheiros
    • Activa o DCOM
    • Activa partilhas de rede
    • Executa o ficheiro
    • Ligação ao canal IRC
    • Abandona canais IRC
    • Abre ligações remotas
    • Ataque de Negação de Serviços (ataque DoS)
    • Executa pesquisas na rede
    • Redireccionamento de porta
    • Inicia o keylog
    • Termina o malware
    • Termina processos
    • Actualiza-se a ele próprio
    • Upload de ficheiros

Roubos de informação Tenta roubar a seguinte informação:
– Windows Product ID

– As seguintes CD Keys:
   • Counter-Strike (Retail); The Gladiators; Gunman Chronicles; Half-Life;
      Industry Giant 2; Legends of Might and Magic; Soldiers Of Anarchy;
      Unreal Tournament 2003; Unreal Tournament 2004; IGI 2: Covert Strike;
      Freedom Force; Battlefield 1942; Battlefield 1942 (Road To Rome);
      Battlefield 1942 (Secret Weapons of WWII); Battlefield Vietnam; Black
      and White; Command and Conquer: Generals (Zero Hour); James Bond 007:
      Nightfire; Command and Conquer: Generals; Global Operations; Medal of
      Honor: Allied Assault; Medal of Honor: Allied Assault: Breakthrough;
      Medal of Honor: Allied Assault: Spearhead; Need For Speed Hot Pursuit
      2; Need For Speed: Underground; Shogun: Total War: Warlord Edition;
      FIFA 2002; FIFA 2003; NHL 2002; NHL 2003; Nascar Racing 2002; Nascar
      Racing 2003; Rainbow Six III RavenShield; Command and Conquer:
      Tiberian Sun; Command and Conquer: Red Alert; Command and Conquer: Red
      Alert 2; NOX; Chrome; Hidden & Dangerous 2; Soldier of Fortune II -
      Double Helix; Neverwinter Nights; Neverwinter Nights (Shadows of
      Undrentide); Neverwinter Nights (Hordes of the Underdark)

– A palavra-chave do seguinte programa:
   • winlogon

– É iniciada uma rotina de logging depois de visitar um dos seguintes Web sites, que contenha um dos seguintes textos no URL:
   • paypal
   • PAYPAL
   • paypal.com
   • PAYPAL.COM

– Captura:
    • Teclar
    • Informação de login

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• PE Pack

Descrição enviada por Razvan Olteanu em terça-feira, 27 de setembro de 2005
Descrição atualizada por Razvan Olteanu em sexta-feira, 30 de setembro de 2005

Voltar . . . .