Nume:Worm/Rbot.1332224
Descoperit pe data de:10/10/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:1.332.224 Bytes
MD5:7b7c635984e80774205c83c9222cb2dd
Versiune VDF:6.36.00.87
Versiune IVDF:6.36.00.103 - sexta-feira, 13 de outubro de 2006

 General Metoda de raspandire:
   • Reteaua locala
   • Discuri de retea mapate


Alias:
   •  Mcafee: W32/Sdbot.worm.gen.ca
   •  Kaspersky: Backdoor.Win32.SdBot.att
   •  TrendMicro: WORM_SDBOT.AOF
   •  Sophos: W32/Sdbot-CSB
   •  VirusBuster: virus Worm.SdBot.EGF
   •  Bitdefender: Backdoor.Rbot.FHS


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\winit.exe



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "Microsoft Updates"="winit.exe"



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
   • "Microsoft Updates"="winit.exe"



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\OLE
   • "Microsoft Updates"="winit.exe"



Urmatoarele chei din registri sunt modificate:

– HKLM\SOFTWARE\Microsoft\Ole
   Vechea valoare:
   • "EnableDCOM"="Y"
   Noua valoare:
   • "EnableDCOM"="N"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Vechea valoare:
   • "restrictanonymous"=0
   Noua valoare:
   • "restrictanonymous"=1

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • %s\ipc$
   • IPC$
   • %c$
   • %d$
   • c$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32
   • ADMIN$


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS01-059 (Unchecked Buffer in Universal Plug and Play)
– MS02-018 (Patch for Internet Information Service)
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– VX05-006 (Remote Heap Overflow la folosirea VERITAS Backup Exec Admin Plus Pack Option)
– Bagle backdoor (port 2745)
– Kuang backdoor (port 17300)
– NetDevil backdoor (port 903)
– Optix backdoor (port 3140)
– SubSeven backdoor (port 27347)
– Administrare remote DameWare (port 6129)


Procesul de infectare:
Creeaza un script TFTP pe sistemul afectat, pentru a descarca un malware pe un computer controlat la distanta.
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: irc.wolfpac.org
Port: 6667
Canal: #skull
Nick: USA%sir de 6 caractere aleatoare%
Parola: getlost



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Parole retinute
    • Captura ecranului
    • Captura imagine de pe webcam
    • Viteza procesorului
    • Utilizatorul curent
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • Informatii despre procesele sistemului
    • Cantitatea de memorie
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • Lanseaza atacuri DDoS ICMP
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS TCP
    • Lanseaza atacuri DDoS UDP
    • dezactivare DCOM
    • dezactivarea partajarii de resurse in retea
    • deconectare server IRC
    • descarcare fisier
    • activare DCOM
    • activarea partajarii de resurse in retea
    • executarea unui fisier
    • intrare pe canal IRC
    • terminare proces
    • parasire canal IRC
    • deschidere consola
    • executare atac DDoS
    • Scaneaza reteaua
    • redirectionare porturi
    • repornirea sistemului
    • trimitere email-uri
    • Porneste keylog
    • Se actualizeaza singur
    • Face upload la un fisier
    • Vizitarea unui website

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– Urmatoarele CD-keys:
   • Battlefield1942; Battlefield1942(RoadToRome);
      Battlefield1942(SecretWeaponsofWWII); BattlefieldVietnam;
      BlackandWhite; Command&ConquerGenerals;
      CommandandConquer:Generals(ZeroHour); CommandandConquer:RedAlert2;
      CommandandConquer:; Counter-Strike(Retail); Chrome; FIFA2002;
      FIFA2003; FreedomForce; GlobalOperations; GunmanChronicles; Half-Life;
      Hidden&Dangerous2; IGI2:CovertStrike; IndustryGiant2;
      JamesBond007:Nightfire; LegendsofMightandMagic;
      MedalofHonor:AlliedAssault; MedalofHonor:AlliedAssault:Breakthrough;
      MedalofHonor:AlliedAssault:Spearhead; NascarRacing2002;
      NascarRacing2003; NeedForSpeedHotPursuit2; NeedForSpeed:Underground;
      NeverwinterNights; NeverwinterNights(HordesoftheUnderdark);
      NeverwinterNights(ShadowsofUndrentide)NeverwinterNights(ShadowsofUndrentide);
      NHL2003; NHL2002; NOX; RainbowSixIIIRavenShield;
      Shogun:TotalWar:WarlordEdition; SoldierofFortuneII-DoubleHelix;
      SoldiersOfAnarchy; TheGladiators; UnrealTournament2003;
      UnrealTournament2004

– O rutina de logare este pornita dupa ce se tasteaza urmatorul text:
   • paypal

– Face captura la:
    • Datele introduse de la tastatura

– O rutina de logare este pornita dupa ce un site este vizitat:
   • paypal.com

– Face captura la:
    • Datele introduse de la tastatura

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • a3c


Metode anti-debugging
Verfica daca exista unul din urmatoarele fisiere:
   • \\.\SICE
   • \\.\NTICE

Daca gaseste, afiseaza urmatorul mesaj si isi termina executia imediat:


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Bogdan Iliuta em sexta-feira, 10 de novembro de 2006
Descrição atualizada por Bogdan Iliuta em sexta-feira, 17 de novembro de 2006

Voltar . . . .