VírusWorm/IRCBot.50176
Data em que surgiu:19/08/2005
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:50.176 Bytes
MD5 checksum:a0a9e853b4ca1b2b66c39a44e374a25e
Versão VDF:6.31.01.146

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Kaspersky: Backdoor.Win32.Rbot.yb
   •  TrendMicro: WORM_RBOT.CKK
   •  Sophos: W32/KBBot-A
   •  Eset: Win32/Rbot
   •  Bitdefender: Backdoor.SDBot.DEA


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\wnsvc.exe



Apaga a cópia executada inicialmente.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "WN Services"="wnsvc.exe"

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Exploit:
Faz uso do seguinte Exploit:
– MS04-007 (ASN.1 Vulnerability)


Criação de endereços IP:
Cria endereços IP aleatórios enquanto mantém o primeiro octeto do seu próprio endereço. Depois tenta estabelecer uma ligação com os endereços criados.


Processo de infecção:
Cria um script TFTP na máquina a atacada para permitir o download do malware da máquina atacante.

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: micro.nun**********
Porta: 6564
Palavra-chave do servidor: cheezw00p
Canal #&robots
Nickname: \%sete caracteres aleatórios%
Palavra-chave koolbotz

Servidor: micro.leet**********
Porta: 6564
Palavra-chave do servidor: cheezw00p
Canal #&scanning
Nickname: \%sete caracteres aleatórios%
Palavra-chave koolbotz



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Velocidade do CPU
    • Utilizador Actual
    • Detalhes acerca dos drivers
    • Espaço disponível no disco
    • Memória disponível
    • Tempo de vida do malware
    • Informações sobre a rede
    • Informação sobre processos em execução
    • Capacidade da memória
    • Nome de utilizador
    • Informação sobre o sistema operativo Windows


– Para além disso tem a capacidade de executar as seguintes acções:
    • Lança DDoS ICMP floods
    • Lança DDoS SYN floods
    • Lança DDoS TCP floods
    • Lança DDoS UDP floods
    • Download de ficheiros
    • Executa o ficheiro
    • Termina processos
    • Ataque de Negação de Serviços (ataque DoS)
    • Executa pesquisas na rede
    • Inicia a rotina de propagação
    • Termina o malware
    • Termina processos
    • Actualiza-se a ele próprio

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Irina Boldea em quinta-feira, 11 de maio de 2006
Descrição atualizada por Irina Boldea em quinta-feira, 11 de maio de 2006

Voltar . . . .