Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/IRCBot.50176
Data em que surgiu:19/08/2005
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:Mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:50.176 Bytes
MD5 checksum:a0a9e853b4ca1b2b66c39a44e374a25e
Verso VDF:6.31.01.146

 Vulgarmente Meio de transmisso:
   • Rede local


Alias:
   •  Kaspersky: Backdoor.Win32.Rbot.yb
   •  TrendMicro: WORM_RBOT.CKK
   •  Sophos: W32/KBBot-A
   •  Eset: Win32/Rbot
   •  Bitdefender: Backdoor.SDBot.DEA


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\wnsvc.exe



Apaga a cpia executada inicialmente.

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "WN Services"="wnsvc.exe"

 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.


Exploit:
Faz uso do seguinte Exploit:
– MS04-007 (ASN.1 Vulnerability)


Criao de endereos IP:
Cria endereos IP aleatrios enquanto mantm o primeiro octeto do seu prprio endereo. Depois tenta estabelecer uma ligao com os endereos criados.


Processo de infeco:
Cria um script TFTP na mquina a atacada para permitir o download do malware da mquina atacante.

 IRC Para enviar informao do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: micro.nun**********
Porta: 6564
Palavra-chave do servidor: cheezw00p
Canal #&robots
Nickname: \%sete caracteres aleatrios%
Palavra-chave koolbotz

Servidor: micro.leet**********
Porta: 6564
Palavra-chave do servidor: cheezw00p
Canal #&scanning
Nickname: \%sete caracteres aleatrios%
Palavra-chave koolbotz



 Este malware tem a capacidade de recolher e enviar a seguinte informao:
    • Velocidade do CPU
    • Utilizador Actual
     Detalhes acerca dos drivers
    • Espao disponvel no disco
    • Memria disponvel
    • Tempo de vida do malware
    • Informaes sobre a rede
    • Informao sobre processos em execuo
    • Capacidade da memria
    • Nome de utilizador
    • Informao sobre o sistema operativo Windows


 Para alm disso tem a capacidade de executar as seguintes aces:
     Lana DDoS ICMP floods
     Lana DDoS SYN floods
    • Lana DDoS TCP floods
     Lana DDoS UDP floods
    • Download de ficheiros
    • Executa o ficheiro
    • Termina processos
    • Ataque de Negao de Servios (ataque DoS)
     Executa pesquisas na rede
     Inicia a rotina de propagao
    • Termina o malware
    • Termina processos
     Actualiza-se a ele prprio

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Irina Boldea em quinta-feira, 11 de maio de 2006
Descrição atualizada por Irina Boldea em quinta-feira, 11 de maio de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.