VírusWorm/IRCBot.9609
Número CME:482
Data em que surgiu:13/08/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De médio a elevado
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:9.609 Bytes
MD5 checksum:9928A1E6601CF00D0B7826D13FB556F0
Versão VDF:6.35.01.85 - domingo, 13 de agosto de 2006
Versão IVDF:6.35.01.85 - domingo, 13 de agosto de 2006

 Vulgarmente Meios de transmissão:
   • Rede local
   • Messenger


Alias:
   •  Symantec: Backdoor.IRC.Bot
   •  Mcafee: IRC-Mocbot!MS06-040
   •  Kaspersky: Backdoor.Win32.IRCBot.st
   •  TrendMicro: WORM_IRCBOT.JK
   •  F-Secure: Backdoor.Win32.IRCBot.st


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\wgareg.exe



Apaga a cópia executada inicialmente.

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\wgareg]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %SYSDIR%\wgareg.exe
   • DisplayName = Windows Genuine Advantage Registration Service
   • ObjectName = LocalSystem
   • FailureActions = %valores hex%
   • Description = Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.

– [HKLM\SYSTEM\CurrentControlSet\Services\wgareg\Security]
   • Security = %valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\wgareg\Enum]
   • 0 = Root\LEGACY_WGAREG\0000
   • Count = 1
   • NextInstance = 1



Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Valor anterior:
   • EnableDCOM = %definições do utilizador %
   Valor recente:
   • EnableDCOM = n

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valor anterior:
   • restrictanonymous = %definições do utilizador %
   • restrictanonymoussam = %definições do utilizador %
   Valor recente:
   • restrictanonymous = 1
   • restrictanonymoussam = 1

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   Valor recente:
   • autoshareserver = 0
   • autosharewks = 0

– [HKLM\SOFTWARE\Microsoft\security center]
   Valor anterior:
   • antivirusdisablenotify = %definições do utilizador %
   • antivirusoverride = %definições do utilizador %
   • firewalldisablenotify = %definições do utilizador %
   • firewalldisableoverride = %definições do utilizador %
   Valor recente:
   • antivirusdisablenotify = 1
   • antivirusoverride = 1
   • firewalldisablenotify = 1
   • firewalldisableoverride = 1

Desactiva a Firewall do Windows
– [HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\domainprofile]
   Valor anterior:
   • enablefirewall = %definições do utilizador %
   Valor recente:
   • enablefirewall = 0

– [HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\standardprofile]
   Valor anterior:
   • enablefirewall = %definições do utilizador %
   Valor recente:
   • enablefirewall = 0

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • Start = %definições do utilizador %
   Valor recente:
   • Start = 4

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– AIM Messenger

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Exploit:
Faz uso do seguinte Exploit:
– MS06-040 (Vulnerability in Server Service)

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: bniu.house**********
Porta: 18067
Canal #n1
Nickname: n1-%uma série de caracteres aleatórios%
Palavra-chave nert4mp1

Servidor: ypgw.wall**********
Porta: 18067
Canal #n1
Nickname: n1-%uma série de caracteres aleatórios%
Palavra-chave nert4mp1


– Para além disso tem a capacidade de executar as seguintes acções:
    • Lança DDoS SYN floods
    • Lança DDoS UDP floods
    • Download de ficheiros
    • Executa o ficheiro
    • Inicia a rotina de propagação

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • wgareg

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Philipp Wolf em domingo, 13 de agosto de 2006
Descrição atualizada por Andrei Gherman em segunda-feira, 14 de agosto de 2006

Voltar . . . .