VírusWorm/Rbot.1332224
Data em que surgiu:10/10/2006
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:1.332.224 Bytes
MD5 checksum:7b7c635984e80774205c83c9222cb2dd
Versão VDF:6.36.00.87
Versão IVDF:6.36.00.103 - sexta-feira, 13 de outubro de 2006

 Vulgarmente Meio de transmissão:
   • Rede local
   • Unidade de rede


Alias:
   •  Mcafee: W32/Sdbot.worm.gen.ca
   •  Kaspersky: Backdoor.Win32.SdBot.att
   •  TrendMicro: WORM_SDBOT.AOF
   •  Sophos: W32/Sdbot-CSB
   •  VirusBuster: virus Worm.SdBot.EGF
   •  Bitdefender: Backdoor.Rbot.FHS


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\winit.exe



Apaga a cópia executada inicialmente.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "Microsoft Updates"="winit.exe"



Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
   • "Microsoft Updates"="winit.exe"



É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\OLE
   • "Microsoft Updates"="winit.exe"



Altera as seguintes chaves de registo do Windows:

– HKLM\SOFTWARE\Microsoft\Ole
   Valor anterior:
   • "EnableDCOM"="Y"
   Valor recente:
   • "EnableDCOM"="N"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Valor anterior:
   • "restrictanonymous"=0
   Valor recente:
   • "restrictanonymous"=1

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • %s\ipc$
   • IPC$
   • %c$
   • %d$
   • c$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32
   • ADMIN$


Exploit:
Faz uso dos seguintes Exploits:
– MS01-059 (Unchecked Buffer in Universal Plug and Play )
– MS02-018 (Patch for Internet Information Service)
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– VX05-006 (Remote Heap Overflow ao utilizar VERITAS Backup Exec Admin Plus Pack Option)
– Bagle backdoor (port 2745)
– Kuang backdoor (port 17300)
– NetDevil backdoor (port 903)
– Optix backdoor (port 3140)
– SubSeven backdoor (port 27347)
– Administração remota DameWare (porta 6129)


Processo de infecção:
Cria um script TFTP na máquina a atacada para permitir o download do malware da máquina atacante.
Cria um script FTP na máquina infectada para permitir o download do malware da máquina atacante.


Execução remota:
–Tenta programar uma execução remota do malware, na máquina recentemente infectada. Então usa a função de NetScheduleJobAdd.

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: irc.wolfpac.org
Porta: 6667
Canal #skull
Nickname: USA%seis caracteres aleatórios%
Palavra-chave getlost



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Palavras-chave armazenadas
    • Captura do ecrã
    • Imagens capturas a partir de webcam
    • Velocidade do CPU
    • Utilizador Actual
    • Espaço disponível no disco
    • Memória disponível
    • Tempo de vida do malware
    • Informações sobre a rede
    • Informação sobre processos em execução
    • Capacidade da memória
    • Informação sobre o sistema operativo Windows


– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Lança DDoS ICMP floods
    • Lança DDoS SYN floods
    • Lança DDoS TCP floods
    • Lança DDoS UDP floods
    • Desactiva o DCOM
    • Desactiva partilhas de rede
    • Desliga-se do servidor de IRC
    • Download de ficheiros
    • Activa o DCOM
    • Activa partilhas de rede
    • Executa o ficheiro
    • Ligação ao canal IRC
    • Termina processos
    • Abandona canais IRC
    • Abre ligações remotas
    • Ataque de Negação de Serviços (ataque DoS)
    • Executa pesquisas na rede
    • Redireccionamento de porta
    • Reinicia
    • Envia emails
    • Inicia o keylog
    • Actualiza-se a ele próprio
    • Upload de ficheiros
    • Visita um Web site

 Roubos de informação Tenta roubar a seguinte informação:

– As seguintes CD Keys:
   • Battlefield1942; Battlefield1942(RoadToRome);
      Battlefield1942(SecretWeaponsofWWII); BattlefieldVietnam;
      BlackandWhite; Command&ConquerGenerals;
      CommandandConquer:Generals(ZeroHour); CommandandConquer:RedAlert2;
      CommandandConquer:; Counter-Strike(Retail); Chrome; FIFA2002;
      FIFA2003; FreedomForce; GlobalOperations; GunmanChronicles; Half-Life;
      Hidden&Dangerous2; IGI2:CovertStrike; IndustryGiant2;
      JamesBond007:Nightfire; LegendsofMightandMagic;
      MedalofHonor:AlliedAssault; MedalofHonor:AlliedAssault:Breakthrough;
      MedalofHonor:AlliedAssault:Spearhead; NascarRacing2002;
      NascarRacing2003; NeedForSpeedHotPursuit2; NeedForSpeed:Underground;
      NeverwinterNights; NeverwinterNights(HordesoftheUnderdark);
      NeverwinterNights(ShadowsofUndrentide)NeverwinterNights(ShadowsofUndrentide);
      NHL2003; NHL2002; NOX; RainbowSixIIIRavenShield;
      Shogun:TotalWar:WarlordEdition; SoldierofFortuneII-DoubleHelix;
      SoldiersOfAnarchy; TheGladiators; UnrealTournament2003;
      UnrealTournament2004

– É iniciada uma rotina de logging depois de digitadar o seguinte texto:
   • paypal

– Captura:
    • Teclar

– É iniciada uma rotina de logging depois de visitar um Web site:
   • paypal.com

– Captura:
    • Teclar

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • a3c


Anti debugging
Confirma se um dos ficheiros seguintes está presente:
   • \\.\SICE
   • \\.\NTICE

Se concluir com êxito visualiza o seguinte e termina imediatamente:


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Bogdan Iliuta em sexta-feira, 10 de novembro de 2006
Descrição atualizada por Bogdan Iliuta em sexta-feira, 17 de novembro de 2006

Voltar . . . .