Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/RBot.224861
Data em que surgiu:23/06/2006
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:Mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:224.861 Bytes
MD5 checksum:2991ef9b80cacb49e02fa170b773dcce
Verso VDF:6.31.00.102

 Vulgarmente Meio de transmisso:
   • E-mail
   • Rede local


Alias:
   •  Symantec: W32.Spybot.Worm
   •  Kaspersky: Backdoor.Win32.Rbot.td
   •  TrendMicro: WORM_RBOT.BWU
   •  Sophos: W32/Rbot-BAA
   •  Grisoft: IRC/BackDoor.SdBot.DTI
   •  VirusBuster: Worm.Rbot.BUE
   •  Eset: Win32/Rbot
   •  Bitdefender: Backdoor.Rbot.TD


Sistema Operativo:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\msreged32.exe



Apaga a cpia executada inicialmente.



So criados os seguintes ficheiros:

%SYSDIR%\SVKP.sys
%SYSDIR%\msdirectx.sys Usado para esconder um processo. Detectado como: TR/Spy.Agent.dg.2.B

 Registry (Registo do Windows) Altera as seguintes chaves de registo do Windows:

HKLM\SYSTEM\ControlSet001\Control\Lsa
   Valor anterior:
   • "restrictanonymoussam"=%definies do utilizador %
   • "restrictanonymous"=%definies do utilizador %
   Valor recente:
   • "restrictanonymoussam"=dword:00000001
   • "restrictanonymous"=dword:00000001

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Valor anterior:
   • "Shell"="Explorer.exe"
   Valor recente:
   • "Shell"="Explorer.exe msreged32.exe"

HKLM\SOFTWARE\Microsoft\Ole
   Valor anterior:
   • "EnableDCOM"=%definies do utilizador %
   Valor recente:
   • "EnableDCOM"="N"

 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.

Envia cpias de si prprio s seguintes partilhas de rede:
   • ADMIN$
   • C$
   • D$
   • IPC$


Usa a seguinte informao de login para ganhar acesso mquina remota:

Uma lista de nomes de utilizador e palavras-chave:
   • 007; 12; 123; 1234; 2000; 2001; 2002; 2003; 2004; 12345; 123456;
      1234567; 12345678; 123456789; 1234567890; access; accounting;
      accounts; adm; admin; administrador; administrat; administrateur;
      administrator; admins; asd; backup; bill; bitch; blank; bob; brian;
      changeme; chris; cisco; compaq; computer; control; data; database;
      databasepass; databasepassword; db1; db1234; db2; dba; dbpass;
      dbpassword; default; dell; demo; domain; domainpass; domainpassword;
      eric; exchange; fred; fuck; george; god; guest; hell; hello; home;
      homeuser; hp; ian; ibm; internet; intranet; jen; joe; john; kate;
      katie; lan; lee; linux; login; loginpass; luke; mail; main; mary;
      mike; neil; nokia; none; null; oem; oeminstall; oemuser; office;
      oracle; orainstall; outlook; owner; pass; pass1234; passwd; password;
      password1; peter; pwd; qaz; qwe; qwerty; root; sa; sam; server; sex;
      siemens; slut; sql; sqlpassoainstall; staff; student; sue; susan;
      system; teacher; technical; test; unix; user; web; win2000; win2k;
      win98; windows; winnt; winpass; winxp; www; wwwadmin; xp; zxc



Exploit:
Faz uso dos seguintes Exploits:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)


Criao de endereos IP:
Cria endereos IP aleatrios enquanto mantm os primeiros dois octetos do seu prprio endereo. Depois tenta estabelecer uma ligao com os endereos criados.


Processo de infeco:
Cria um script TFTP ou FTP na mquina a atacada para permitir o download do malware da mquina atacante.

 IRC Para enviar informaes do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: asnp**********
Porta: 30108
Canal #asnpwn
Nickname: [asnpwn] %sete caracteres aleatrios%



 Este malware tem a capacidade de recolher e enviar a seguinte informao:
    • Palavras-chave armazenadas
    • Velocidade do CPU
    • Utilizador Actual
     Detalhes acerca dos drivers
    • Espao disponvel no disco
    • Memria disponvel
    • Informaes sobre a rede
    • Informao sobre processos em execuo
    • Capacidade da memria
    • Directrio de sistema
    • Nome de utilizador
    • Informao sobre o sistema operativo Windows


 Para alm disso tem a capacidade de executar as seguintes aces:
     Lana DDoS ICMP floods
     Lana DDoS SYN floods
    • Lana DDoS TCP floods
     Lana DDoS UDP floods
    • Desactiva o DCOM
    • Desactiva partilhas de rede
    • Download de ficheiros
    • Editar o registo do Windows
    • Activa o DCOM
    • Activa partilhas de rede
    • Executa o ficheiro
    • Ligao ao canal IRC
    • Termina processos
    • Abandona canais IRC
    • Abre ligaes remotas
    • Ataque de Negao de Servios (ataque DoS)
     Executa pesquisas na rede
    • Redireccionamento de porta
     Registar um servio
    • Reinicia
    • Envia emails
     Inicia a rotina de propagao
    • Termina processos
     Actualiza-se a ele prprio
     Visita um Web site

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Irina Boldea em segunda-feira, 25 de setembro de 2006
Descrição atualizada por Irina Boldea em quarta-feira, 11 de outubro de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.