VírusWorm/Akbot.H.7
Data em que surgiu:21/09/2006
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:24.644 Bytes
MD5 checksum:ea92efdc4cda122e50758db66595e1dc
Versão VDF:6.36.00.42
Versão IVDF:6.36.00.52 - sexta-feira, 22 de setembro de 2006

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Kaspersky: Backdoor.Win32.Akbot.h


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\windirx.dl



Apaga a cópia executada inicialmente.



É criado o seguinte ficheiro:

\uninstal.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "WinDLL (windirx.dll)"="rundll32.exe %SYSDIR%\windirx.dll,start"

 Infecção da rede  Exploit:
Faz uso do seguinte Exploit:
– MS04-007 (ASN.1 Vulnerability)

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: s1.contentzone.**********
Porta: 7755
Palavra-chave do servidor: b00ndocks
Canal #.map
Nickname: %uma série de caracteres aleatórios%
Palavra-chave yellow



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Velocidade do CPU
    • Memória disponível
    • Informações sobre a rede
    • Informação sobre processos em execução
    • Capacidade da memória
    • Nome de utilizador
    • Directório do Windows
    • Informação sobre o sistema operativo Windows


– Para além disso tem a capacidade de executar as seguintes acções:
    • Lança DDoS ICMP floods
    • Lança DDoS SYN floods
    • Lança DDoS UDP floods
    • Desliga-se do servidor de IRC
    • Download de ficheiros
    • Executa o ficheiro
    • Termina processos
    • Abandona canais IRC
    • Abre ligações remotas
    • Ataque de Negação de Serviços (ataque DoS)
    • Executa pesquisas na rede
    • Envia emails
    • Actualiza-se a ele próprio
    • Upload de ficheiros

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Bogdan Iliuta em sexta-feira, 29 de setembro de 2006

Voltar . . . .