VírusWorm/Agobot.LY
Data em que surgiu:17/06/2004
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:256.512 Bytes
MD5 checksum:58bba52d4d709402f80F9fa523e667d6
Versão VDF:6.25.00.100

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Eset: Win32/Agobot


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Bloqueia o acesso a Web sites de segurança
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\svrhost.exe



Apaga a cópia executada inicialmente.

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "microsoft update process"="svrhost.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "microsoft update process"="svrhost.exe"

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • IPC$
   • IPC$
   • C$
   • D$
   • E$
   • ADMIN$
   • ADMIN$
   • print$
Faz uso dos seguintes Exploits:
– MS01-059 (Unchecked Buffer in Universal Plug and Play )
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS05-039 (Vulnerability in Plug and Play)


Execução remota:
–Tenta programar uma execução remota do malware, na máquina recentemente infectada. Então usa a função de NetScheduleJobAdd.

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: firm.no-ip.org
Porta: 6667
Canal #deltawarez
Nickname: %uma série de caracteres aleatórios%
Palavra-chave mznxbcv



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Velocidade do CPU
    • Utilizador Actual
    • Detalhes acerca dos drivers
    • Espaço disponível no disco
    • Memória disponível
    • Tempo de vida do malware
    • Informações sobre a rede
    • Capacidade da memória
    • Nome de utilizador
    • Informação sobre o sistema operativo Windows


– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Lança DDoS SYN floods
    • Lança DDoS TCP floods
    • Lança DDoS UDP floods
    • Desliga-se do servidor de IRC
    • Download de ficheiros
    • Executa o ficheiro
    • Ligação ao canal IRC
    • Termina processos
    • Abandona canais IRC
    • Executa pesquisas na rede
    • Redireccionamento de porta
    • Actualiza-se a ele próprio
    • Visita um Web site

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso não haverá alterações.

– O acesso aos seguintes domínios é bloqueado:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      www.sophos.com; sophos.com; www.mcafee.com; mcafee.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      viruslist.com; f-secure.com; www.f-secure.com; kaspersky.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.trendmicro.com




O ficheiro hospedeiro (alterado) terá a seguinte aparência:


 Backdoor São abertas as seguintes portas:

%SYSDIR%\svrhost.exe numa porta TCP 5840 Por forma a fornecer capacidades backdoor.
%SYSDIR%\svrhost.exe numa porta TCP 10422 Por forma a fornecer capacidades backdoor.

 Roubos de informação Tenta roubar a seguinte informação:

– As seguintes CD Keys:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White;
      Command & Conquer Generals; Command and Conquer: Generals (Zero Hour);
      Command and Conquer: Red Alert 2; Command and Conquer: Tiberian Sun;
      Counter-Strike (Retail); FIFA 2002; FIFA 2003; Freedom Force; Global
      Operations; Gunman Chronicles; Half-Life; Hidden & Dangerous 2; IGI 2:
      Covert Strike; Industry Giant 2; James Bond 007: Nightfire; Medal of
      Honor: Allied Assault; Medal of Honor: Allied Assault: Breakthrough;
      Medal of Honor: Allied Assault: Spearhead; Nascar Racing 2002; Nascar
      Racing 2003; Need For Speed: Underground; Neverwinter Nights; NHL
      2003; NHL 2002; Rainbow Six III RavenShield; Shogun: Total War:
      Warlord Edition; Soldier of Fortune II - Double Helix; Soldiers Of
      Anarchy; The Gladiators; Unreal Tournament 2003; Unreal Tournament
      2004

– As palavras-chave dos seguintes programas:
   • Emails Addresses stored in WAB(Windows Address Book)
   • AOL Messenger passwords
   • Windows Messenger passwords

– Usa um sniffer de rede para pesquisar os seguintes textos:
   • :.login
   • :!login
   • :.hashin
   • :!hashin
   • :.secure
   • :!secure
   • :!ident
   • :.ident

– É iniciada uma rotina de logging depois de visitar um Web site:
   • paypal.com

– Captura:
    • Informação de login

 Informações diversas Anti debugging
Confirma se o seguinte programa está a ser executado:
   • SoftICE


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Teodor Onisor em sexta-feira, 3 de novembro de 2006
Descrição atualizada por Teodor Onisor em sexta-feira, 3 de novembro de 2006

Voltar . . . .