VírusWorm/Rbot.95744.12
Data em que surgiu:09/11/2005
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:95.744 Bytes
MD5 checksum:b8e07b509594509af0d671c79176ff9c
Versão VDF:6.32.00.123

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Symantec: W32.Spybot.Worm
   •  Sophos: W32/Rbot-AWZ
   •  Bitdefender: Backdoor.RBot.0EA93F88


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\winzbp.exe

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WinZap Check" = "winzbp.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "WinZap Check" = "winzbp.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "WinZap Check" = "winzbp.exe"

 Infecção da rede  Faz uso dos seguintes Exploits:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: irc.thev**********.biz
Porta: 14478
Canal #.lala.#
Nickname: USA|%seis caracteres aleatórios%
Palavra-chave lala



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Palavras-chave armazenadas
    • Imagens capturas a partir de webcam
    • Utilizador Actual
    • Informações sobre a rede
    • Informação sobre processos em execução
    • Nome de utilizador
    • Actividade do utilizador
    • Informação sobre o sistema operativo Windows
    • Lança DDoS ICMP floods
    • Lança DDoS SYN floods
    • Lança DDoS UDP floods
    • Desactiva partilhas de rede
    • Download de ficheiros
    • Editar o registo do Windows
    • Activa partilhas de rede
    • Executa o ficheiro
    • Ligação ao canal IRC
    • Termina processos
    • Ataque de Negação de Serviços (ataque DoS)
    • Executa pesquisas na rede
    • Redireccionamento de porta
    • Registar um serviço
    • Reinicia
    • Envia emails
    • Inicia a rotina de propagação
    • Termina processos
    • Actualiza-se a ele próprio
    • Upload de ficheiros
    • Visita um Web site

 Terminar o processo A seguinte lista de processos são terminados:
   • bbeagle.exe; d3dupdate.exe; i11r54n4.exe"; irun4.exe; MSBLAST.exe;
      msblast.exe; msconfig.exe; mscvb32.exe; navapw32.exe; navw32.exe;
      netstat.exe; PandaAVEngine.exe; Penis32.exe; rate.exe; regedit.exe;
      ssate.exe; sysinfo.exe; SysMonXP.exe; teekids.exe;
      wincfg32.exetaskmon.exe; winsys.exe; winupd.exe; zapro.exe;
      zonealarm.exe


 Roubos de informação Tenta roubar a seguinte informação:

– As seguintes CD Keys:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White;
      Command and Conquer: Generals; Command and Conquer: Generals (Zero
      Hour); Command and Conquer: Red Alert; Command and Conquer: Red Alert
      2; Command and Conquer: Tiberian Sun; Counter-Strike (Retail); FIFA
      2002; FIFA 2003; Half-Life; Hidden & Dangerous 2; IGI 2: Covert
      Strike; Industry Giant 2; James Bond 007: Nightfire; Medal of Honor:
      Allied Assault; Medal of Honor: Allied Assault: Breakthrough; Medal of
      Honor: Allied Assault: Spearhead; Nascar Racing 2002; Nascar Racing
      2003; Need For Speed Hot Pursuit 2; Need For Speed: Underground;
      Neverwinter Nights; Neverwinter Nights (Hordes of the Underdark);
      Neverwinter Nights (Shadows of Undrentide); NHL 2002; NHL 2003;
      Rainbow Six III RavenShield; Shogun: Total War: Warlord Edition;
      Soldier of Fortune II - Double Helix; Soldiers Of Anarchy; The
      Gladiators; Unreal Tournament 2003

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com os seguintes empacotadores de runtime
   • PolyCript
   • ASPack

Descrição enviada por Iulian Popa em quinta-feira, 10 de novembro de 2005
Descrição atualizada por Andrei Ivanes em quinta-feira, 17 de novembro de 2005

Voltar . . . .