VírusWorm/IRCBot.9374
Número CME:762
Data em que surgiu:13/08/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De médio a elevado
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:9.374 Bytes
MD5 checksum:2BF2A4F0BDAC42F4D6F8A062A7206797
Versão VDF:6.35.01.85 - domingo, 13 de agosto de 2006
Versão IVDF:6.35.01.85 - domingo, 13 de agosto de 2006

 Vulgarmente Meio de transmissão:
   • Rede local
   • Messenger


Alias:
   •  Symantec: Backdoor.IRC.Bot
   •  Mcafee: IRC-Mocbot!MS06-040
   •  Kaspersky: Backdoor.Win32.IRCBot.st
   •  TrendMicro: WORM_IRCBOT.JK
   •  F-Secure: Backdoor.Win32.IRCBot.st
   •  Bitdefender: Backdoor.IRCBot.ST


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\wgavm.exe



Apaga a cópia executada inicialmente.

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\wgavm]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %SYSDIR%\wgavm.exe
   • DisplayName = Windows Genuine Advantage Validation Monitor
   • ObjectName = LocalSystem
   • FailureActions = %valores hex%
   • Description = Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.

– [HKLM\SYSTEM\CurrentControlSet\Services\wgavm\Security]
   • Security = %valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\wgavm\Enum]
   • 0 = Root\LEGACY_WGAVM\0000
   • Count = 1
   • NextInstance = 1



Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Valor anterior:
   • EnableDCOM = %definições do utilizador %
   Valor recente:
   • EnableDCOM = n

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valor anterior:
   • restrictanonymous = %definições do utilizador %
   • restrictanonymoussam = %definições do utilizador %
   Valor recente:
   • restrictanonymous = 1
   • restrictanonymoussam = 1

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   Valor recente:
   • autoshareserver = 0
   • autosharewks = 0

– [HKLM\SOFTWARE\Microsoft\security center]
   Valor anterior:
   • antivirusdisablenotify = %definições do utilizador %
   • antivirusoverride = %definições do utilizador %
   • firewalldisablenotify = %definições do utilizador %
   • firewalldisableoverride = %definições do utilizador %
   Valor recente:
   • antivirusdisablenotify = 1
   • antivirusoverride = 1
   • firewalldisablenotify = 1
   • firewalldisableoverride = 1

Desactiva a Firewall do Windows
– [HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\domainprofile]
   Valor anterior:
   • enablefirewall = %definições do utilizador %
   Valor recente:
   • enablefirewall = 0

– [HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\standardprofile]
   Valor anterior:
   • enablefirewall = %definições do utilizador %
   Valor recente:
   • enablefirewall = 0

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • Start = %definições do utilizador %
   Valor recente:
   • Start = 4

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– AIM Messenger

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Exploit:
Faz uso do seguinte Exploit:
– MS06-040 (Vulnerability in Server Service)

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: bniu.house**********
Porta: 18067
Canal #n0
Nickname: n0-%uma série de caracteres aleatórios%

Servidor: ypgw.wall**********
Porta: 18067
Canal #n0
Nickname: n0-%uma série de caracteres aleatórios%


– Para além disso tem a capacidade de executar as seguintes acções:
    • Lança DDoS SYN floods
    • Lança DDoS UDP floods
    • Download de ficheiros
    • Executa o ficheiro
    • Inicia a rotina de propagação

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • wgavm

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Philipp Wolf em domingo, 13 de agosto de 2006
Descrição atualizada por Andrei Gherman em segunda-feira, 14 de agosto de 2006

Voltar . . . .