Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/RBot.328262
Data em que surgiu:08/07/2005
Tipo:Worm
Includo na lista "In The Wild"No
Nvel de danos:Baixo
Nvel de distribuio:Mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:558.080 Bytes
MD5 checksum:a36bf2770D4763d8f53ae224d9bcfb57
Verso VDF:6.31.0.172

 Vulgarmente Meios de transmisso:
   • Rede local


Alias:
   •  Sophos: W32/Tilebot-HD


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efeitos secundrios:
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localizao:
   • %WINDIR%\lsass.exe



Altera o contedo dos ficheiros seguintes.
%SYSDIR%\ftp.exe
%SYSDIR%\tftp.exe



Apaga a cpia executada inicialmente.

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o servio ao iniciar o sistema:

HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\lsass.exe"
   • "DisplayName"="Spool SubSystem App"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%hex value%
   • "Description"="Spool SubSystem App"



So adicionadas as seguintes chaves ao registo:

HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App\Security
   • "Security"=%hex value%

HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App\Enum
   • "0"="Root\\LEGACY_SPOOL_SUBSYSTEM_APP\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP
   • "NextInstance"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP\
   0000
   • "Service"="Spool SubSystem App"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Spool SubSystem App"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP\
   0000\Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Spool SubSystem App"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "windns"=%directrio de execuo do malware%\%ficheiro executado%

 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.

Envia cpias de si prprio s seguintes partilhas de rede:
   • c$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32
   • ADMIN$


Exploit:
Faz uso dos seguintes Exploits:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Processo de infeco:
Cria um script FTP na mquina infectada para permitir o download do malware da mquina atacante.


Execuo remota:
Tenta programar uma execuo remota do malware, na mquina recentemente infectada. Ento usa a funo de NetScheduleJobAdd.

 IRC Para enviar informaes do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: mail2.tik**********
Porta: 9632;7412
Canal #z#
Nickname: [P00|USA|%oito caracteres aleatrios%]
Palavra-chave m00



 Este malware tem a capacidade de recolher e enviar a seguinte informao:
    • Velocidade do CPU
    • Utilizador Actual
    • Espao disponvel no disco
    • Memria disponvel
    • Tempo de vida do malware
    • Informaes sobre a rede
    • Informao sobre processos em execuo
    • Capacidade da memria
    • Informao sobre o sistema operativo Windows


 Para alm disso tem a capacidade de executar as seguintes aces:
     Lana DDoS ICMP floods
     Lana DDoS SYN floods
     Lana DDoS UDP floods
    • Desactiva partilhas de rede
    • Download de ficheiros
    • Editar o registo do Windows
    • Activa partilhas de rede
    • Executa o ficheiro
    • Termina processos
    • Abre ligaes remotas
    • Ataque de Negao de Servios (ataque DoS)
     Executa pesquisas na rede
    • Redireccionamento de porta
    • Termina o malware
     Actualiza-se a ele prprio

 Backdoor Contacta o servidor:
Seguinte:
   • htp://www.littleworld.pe.kr/**********

Isto feito usando o mtodo HTTP GET atravs de scripts PHP.

 Introduo de cdigo viral noutros processos –  Introduz o seguinte ficheiro num processo: %SYSDIR%\sfc_os.dll

    Todos os processos que se seguem:
   • %SYSDIR%\winlogon.exe
   • %SYSDIR%\svchost.exe
   • %SYSDIR%\spoolsv.exe


 Informaes diversas Mutex:
Cria o seguinte Mutex:
   • w7p5h9e5k7x5


Anti debugging
Confirma se o seguinte ficheiro existe:
   • \\.\NTICE



Reparar o ficheiro:
Para aumentar o nmero mximo de ligaes tem a capacidade de modificar o ficheiro tcpip.sys. Pode resultar na corrupo desse ficheiro e na ruptura da conectividade da rede.
Para desactivar o Windows File Protection (WPF) tem capacidade para modificar o ficheiro sfc_os.dll no posio 000E2B8. O WPF serve para evitar alguns dos actuais problemas de inconsistncia dos DLL.

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Bogdan Iliuta em sexta-feira, 13 de outubro de 2006
Descrição atualizada por Andrei Gherman em terça-feira, 21 de novembro de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.