Full description

Vírus	Worm/RBot.Mirco.bng
Data em que surgiu:	24/05/2007
Tipo:	Worm
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Médio
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	134.295 Bytes
MD5 checksum:	8f3f15ba6a7b96a2e77ca4f98141e021
Versão VDF:	6.38.01.179
Versão IVDF:	6.38.01.189 - sexta-feira, 25 de maio de 2007

Vulgarmente Meios de transmissão:
   • Rede local

Alias:
   • F-Secure: Backdoor.Win32.Rbot.bng
   • Sophos: W32/Rbot-Fam

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
• %SYSDIR%\dsass.exe

Apaga a cópia executada inicialmente.

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows Service Agent"="%SYSDIR%\dsass.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Service Agent"="%SYSDIR%\dsass.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Service Agent"="%SYSDIR%\dsass.exe"

Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Valor anterior:
   • "EnableDCOM"="%definições do utilizador %"
   Valor recente:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\ControlSet001\Control\Lsa]
   Valor anterior:
   • "restrictanonymous"=%definições do utilizador %
   Valor recente:
   • "restrictanonymous"=dword:00000001

Infecção da rede Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • IPC$
   • C$
   • D$
   • ADMIN$

Usa a seguinte informação de login para ganhar acesso à máquina remota:

–Nomes de utilizador e palavras-chave guardadas.

– Uma lista de nomes de utilizador e palavras-chave:
   • administrator; administrador; administrateur; administrat; admins;
      admin; staff; root; computer; owner; student; teacher; wwwadmin;
      guest; default; database; dba; oracle; db2; administrator;
      administrador; administrateur; administrat; admins; admin; adm;
      password1; password; passwd; pass1234; pass; pwd; 007; 71; 12; 123;
      1234; 12345; 123456; 1234567; 12345678; 123456789; 1234567890; 2000;
      2001; 2002; 2003; 2004; test; guest; none; demo; unix; linux;
      changeme; default; system; server; root; null; qwerty; mail; outlook;
      web; www; internet; accounts; accounting; home; homeuser; user; oem;
      oemuser; oeminstall; windows; win98; win2k; winxp; winnt; win2000;
      qaz; asd; zxc; qwe; bob; jen; joe; fred; bill; mike; john; peter;
      luke; sam; sue; susan; peter; brian; lee; neil; ian; chris; eric;
      george; kate; bob; katie; mary; login; loginpass; technical; backup;
      exchange; fuck; bitch; slut; sex; god; hell; hello; domain;
      domainpass; domainpassword; database; access; dbpass; dbpassword;
      databasepass; data; databasepassword; db1; db2; db1234; sa; sql;
      sqlpassoainstall; orainstall; oracle; ibm; cisco; dell; compaq;
      siemens; hp; nokia; xp; control; office; blank; winpass; main; lan;
      internet; intranet; student; teacher; staff; Abdulrazak; Ackerman;
      Adams; Addison; Adelstein; Adibe; Adorno; Ahlers; Alavi; Alcorn; Alda;
      Aleks; Allison; Alongi; Altavilla; Altenberger; Altenhofen; Amaral;
      Amatangelo; Ameer; Amsden; Anand; Andel; Ando; Andrelus; Andron;
      Anfinrud; Ansley; Anthony; Antos; Arbia; Arduini; Arellano; Aristotle;
      Arjas; Arky; Atkins; Augustus; Aurelius; Axelrod; Axworthy; Ayiemba;
      Aykroyd; Ayling; Azima; Bachmuth; Backus; Bady; Baglivo; Bagnold;
      Bailar; Bakanowsky; Baleja; Ballatori; Ballew; Baltz; Banta; Barabesi;
      Barajas; Baranczak; Baranowska; Barberi; Barbetti; Barneson; Barnett;
      Barriola; Barry; Bartholomew; Bartolome; Bartoo; Basavappa; Bashevis;
      Batchelder; Baumiller; Bayles; Bayo; Beacon; Beal; Bean; Beckman;
      Beder; Bedford; Behenna; Belanger; Belaoussof; Belfer; Belin-Collart;
      Bellavance; Bellhouse; Bellini; Belloc; Benedict-Dye; Bergson;
      Berke-Jenkins; Bernardo; Bernassola; Bernston; Berrizbeitia; Betti;
      Beynart; Biagioli; Bickel; Binion; Bir; Bisema; Bisho; Blackbourn;
      Blackwell; Blagg; Blakemore; Blanke; Bliss; Blizard; Bloch;
      Bloembergen; Bloemhof; Bloxham; Blyth; Bolger; Bolick; Bollinger;
      Bologna; Boner; Bonham; Boniface; Bontempo; Book; Bookbinder; Boone;
      Boorstin; Borack; Borden; Bossi; Bothman; Botosh; Boudin; Boudrot;
      Bourneuf; Bowers; Boxer; Boyajian; Boyes; Boyland; Boym; Boyne;
      Bracalente; Bradac; Bradach; Brecht; Breed; Brenan; Brennan; Brewer;
      Brewer; Bridgeman; Bridges; Brinton; Britz; Broca; Brook; Brzycki;
      Buchan; Budding; Bullard; Bunton; Burden; Burdzy; Burke; Burridge;
      Busetta; Byatt; Byerly; Byrd; Cage; Calnan; Cammelli; Cammilleri;
      Canley; Capanni; Caperton; Capocaccia; Capodilupo; Cappuccio; Capursi;
      Caratozzolo; Carayannopoulos; Carlin; Carlos; Carlyle; Carmichael;
      Caroti; Carper; Cartmill; Cascio; Case; Caspar; Castelda; Cavanagh;
      Cavell; Ceniceros; Cerioli; Chapman; Charles; Cheang; Cherry;
      Chervinsky; Chiassino; Chien; Childress; Childs; Chinipardaz; Chinman;
      Christenson; Christian; Christiano; Christie; Christopher; Chu;
      Chupasko; Church; Ciampaglia; Cicero; Cifarelli; Claffey; Clancy;
      Clark; Clement; Clifton; Clow; Coblenz; Coito; Coldren; Colella;
      Collard; Collis; Compton; Compton; Comstock; Concino; Condodina;
      Connors; Corey; Cornish; Cosmides; Counter; Coutaux; Crawford;
      Crocker; Croshaw; Croxen; Croxton; Cui; Currier; Cutler; Cvek; Cyders;
      daSilva; Daldalian; Daly; D'Ambra; Danieli; Dante; Dapice;
      D'arcangelo; Das; Dasgupta; Daskalu; David; Dawkins; DeGennaro;
      DeLaPena; del'Enclos; deRousse; Debroff; Dees; Defeciani; Delattre;
      Deleon-Rendon; Delger; Dell'acqua; Deming; Dempster; Demusz; Denault;
      Denham; Denison; Desombre; Deutsch; D'fini; Dicks; Diefenbach;
      Difabio; Difronzo; Dilworth; Dionysius; Dirksen; Dockery; Doherty;
      Donahue; Donner; Doonan; Dore; Dorf; Dosi; Doty; Doug; Dowsland;
      Drinker; D'souza; Duffin; Durrett; Dussault; Dwyer; Eardley; Ebeling;
      Eckel; Edley; Edner; Edward; Eickenhorst; Eliasson; Elmendorf;
      Elmerick; Elvis; Encinas; Enyeart; Eppling; Erbach; Erdman; Erdos;
      Erez; Espinoza; Estes; Etter; Euripides; Everett; Fabbris; Fagan;
      Faioes; Falco-Acosta; Falorsi; Faris; Farone; Farren; Fasso'; Fates;
      Feigenbaum; Fejzo; Feldman; Fernald; Fernandes; Ferrante; Ferriell;
      Feuer; Fido; Field; Fink; Finkelstein; Finnegan; Fiorina; Fisk;
      Fitzmaurice; Flier; Flores; Folks; Forester; Fortes; Fortier; Fossey;
      Fossi; Francisco; Franklin-Kenea; Franz; Frazier-Davis; Freid;
      Freundlich; Fried; Friedland; Frisken; Frowiss; Fryberger; Frye;
      Fujii-Abe; Fuller; Furth; Fusaro; Gabrielli; Gaggiotti; Galeotti;
      Galwey; Gambini; Garfield; Garman; Garonna; Geller; Gemberling;
      Georgi; Gerrett; Ghorai; Gibbens; Gibson; Gilbert; Gili; Gill;
      Gillispie; Gist; Gleason; Glegg; Glendon; Goldfarb; Goncalves; Good;
      Goodearl; Goody; Gozzi; Gravell; Greenberg; Greenfeld; Griffiths;
      Grigoletto; Grummell; Gruner; Gruppe; Guenthart; Gunn; Guo; Ha; Haar;
      Hackman; Hackshaw; Haley; Halkias; Hallowell; Halpert; Hambarzumjan;
      Hamer; Hammerness; Hand; Hanssen; Harding; Hargraves; Harlow;
      Harrigan; Hartman; Hartmann; Hartnett; Harwell; Haviaras; Hawkes;
      Hayes; Haynes; Hazlewood; Heermans; Heft; Heiland; Hellman; Hellmiss;
      Helprin; Hemphill; Henery; Henrichs; Hernandez; Herrera; Hester;
      Heubert; Heyeck; Himmelfarb; Hind; Hirst; Hitchcock; Hoang; Hock;
      Hoffer; Hoffman; Hokanson; Hokoda; Holmes; Holoien; Holter; Holway;
      Holzman; Hooker; Hopkins; Horsley; Hoshida; Hostage; Hottle; Howard;
      Hoy; Huey; Huidekoper; Hungerford; Huntington; Hupp; Hurtubise;
      Hutchings; Hyde; Iaquinta; Ichikawa; Igarashi; Inamura; Inniss; Isaac;
      Isaievych; Isbill; Isserman; Iyer; Jacenko; Jackson; Jagers; Jagger;
      Jagoe; Jain; Jamil; Janjigian; Jarnagin; Jarrell; Jay; Jeffers;
      Jellis; Jenkins; Jespersen; Jewett; Johannesson; Johannsen; Johns;
      Jolly; Jorgensen; Jucks; Juliano; Julious; Kabbash; Kaboolian;
      Kafadar; Kalbfleisch; Kaligian; Kalil; Kalinowski; Kalman; Kamel;
      Kangis; Karpouzes; Kassower; Kasten; Kawachi; Kee; Keenan; Keepper;
      Keith; Kelker; Kelsey; Kempton; Kemsley; Kendall; Kerry; Keul; Khong;
      Kimmel; Kimmett; Kimura; Kindall; Kinsley; Kippenberger; Kirscht;
      Kittridge; Kleckner; Kleiman; Kleinfelder; Klemperer; Kling;
      Klinkenborg; Klint; Knuff; Kobrick; Koch; Kohn; Koivumaki; Kommer;
      Koniaris; Konrad; Kool; Korzybski; Kotter; Kovaks; Kraemer; Krailo;
      Krasney; Kraus; Kroemer; Krysiak; Kuenzli; Kumar; Kusman; Kuwabara;
      La; Labunka; Lafler; Laing; Lallemant; Landes; Lankes; Lantieri;
      Lanzit; Laserna; Lashley; Lawless; Lecar; Lecce; Leclercq; Leite;
      Lenard; l'Enclos; Lesser; Lessi; Liakos; Lidano; Liem; Light;
      Lightfoot; Lim; Linares; Linda; Linder; Line; Linehan; Linzee;
      Lippmann; Lipponen; Little; Litvak; Livernash; Livi; Livolsi; Lizardo;
      Locatelli; Longworth; Loss; Loveman; Lowenstein; Loza; Lubin; Lucas;
      Luciano; Luczkow; Luecke; Lunetta; Luoma; Lussier; Lutcavage; Luzader;
      Ma; Maccormac; Macdonald; Maceachern; Macintyre; Mackenney; MacMillan;
      Macy; Madigan; Maggio; Mahony; Maier; Maine-Hershey; Maisano;
      Malatesta; Maller; Malova; Manalis; Mandel; Manganiello; Mantovan;
      March; Marchbanks; Marcus; Margalit; Margetts; Marques; Martinez;
      Martochio; Marton; Marubini; Mass; Matalka; Matarazzo; Matsukata;
      Mattson; Mauzy; May; Mazzali; Mazziotta; Mcbride; Mccaffery; Mccall;
      Mcclearn; Mcdowell; Mcelroy; McFadden; Mcghee; Mcgoldrick; McIlroy;
      Mcintosh; Mckenna; Mclane; Mclaren; Mcnealy; Mcnulty; Meccariello;
      Memisoglu; Menzies; Merikoski; Merlani; Merminod; Merseth; Merz;
      Metelka; Metropolis; Meurer; Michelman; Middle; Mieher; Mills; Minh;
      Mini; Minichiello; Gonzalez; Mitropoulos; Mittal; Mocroft; Modestino;
      Moeller; Mohr; Moiamedi; Monque; Montilio; MooreDeCh.; Morani;
      Moreton; Morrison; Morrow; Mortimer; Mosher; Mosler; Mostafavi;
      Motooka; Mudarri; Muello; Mugnai; Mulkern; Mulroy; Mumford; Mussachio;
      Naddeo; Napolitano; Nardi; Nardone; Naviaux; Nayduch; Nelson; Nenna;
      Nesci; Neuman; Newfeld; Newlin; Ng; Ni; Nickerson; Nickoloff;
      Nisenson; Nitabach; Notman; Nuzum; Ocougne; Ogata; Oh; O'hagan;
      Oldford; Olsen; Olson; Olszewski; O'malley; Oman; O'meara; Opel; Oray;
      Orfield; Orsi; Ospina; Ostrowski; Ottaviani; Otten; Ouchida; Ovid;
      PaesDealmeida; Paine; Palayoor; Palepu; Pallara; Palmitesta; Panadero;
      Panizzon; Pantilla; Paoletti; Parmeggiani; Parris; Partridge;
      Pascucci; Patefield; Patrick; Pattullo; Pavetti; Pavlon; Pawloski;
      Paynter; Peabody; Pearlberg; Pederson; Peishel; Penny; Pereira; Perko;
      Perlak; Perlman; Perna; Perone; Perrimon; Peters; Petruzello;
      Pettibone; Pettit; Pfister; Pilbeam; Pinot; Plancon; Plant; Plasket;
      Plous; Po; Pocobene; Poincaire; Pointer; Poirier; Polak; Polanyi;
      Politis; Poma; Poolman; Powers; Presper; Preucel; Prevost; Pritchard;
      Pritz; Proietti; Prothrow-Stith; Puccia; Pugh; Pynchon; Quaday;
      Quetin; Rabe; Rabkin; Radeke; Rajagopalan; Raney; Rangan; Rankin;
      Rapple; Rayport; Redden-Tyler; Reedquist; Cunningham; Reinold; Remak;
      Renick; Repetto; Resnik; Rhea; Richmond; Rielly; Rindos; Rineer; Rish;
      Rivera; Robinson; Rocha; Roesler; Rogers; Ronen; Row; Royal; Ru; Ruan;
      Ruderman; Ruescher; Rush; Ryu; Sabatello; Sadler; Safire; Sahu; Sali;
      Samson; Sanchez-Ramirez; Sanna; Sapers; Sarin; Sartore; Sase; Satin;
      Satta; Satterthwaite; Sawtell; Sayied; Scarponi; Scepan; Scharf;
      Scharlemann; Scheiner; Schiano; Schifini; Schilling; Schmitt;
      Schossberger; Schuman; Schutte; Schuyler; Schwan; Schwickrath; Scovel;
      Scudder; Seaton; Seeber; Segal; Sekler; Selvage; Sen; Sennett;
      Seterdahl; Sexton; Seyfert; Shaikh; Shakis; Shankland; Shanley; Shar;
      Shatrov; Shavelson; Shea; Sheats; Shepherd; Sheppard; Shepstone;
      Shesko; Shia; Shibata; Shimon; Siesto; Sigalot; Sigini; Signa;
      Silverman; Silvetti; Sinsabaugh; Sirilli; Sites; Skane; Skerry; Skoda;
      Sloan; Slowe; Smilow; Sniffen; Snodgrass; Socolow; Solon; Somers;
      Sommariva; Sorabella; Sorg; Sottak; Soukup; Soule; Soultanian;
      Spanier; Sparrow; Spaulding; Speizer; Spence; Sperber; Spicer;
      Spiegelhalter; Spiliotis; Spinrad; StMartin; Stalvey; Stam; Stang;
      Stassinopolus; States; Statlender; Stefani; Steiner; Stephanian;
      Stepniewska; Stewart-Oaten; Stiepock; Stillwell; Stock; Stockton;
      Stockwell; Stolzenberg; Stonich; Storer; Stott; Strange; Strauch;
      Streiff; Stringer; Sullivan; Sumner; Suo; Surdam; Sweeting; Sweetser;
      Swindle; Tagiuri; Tai; Talaugon; Tambiah; Tandler; Tanowitz; Tatar;
      Taveras; Tawn; Tcherepnin; Teague; Temes; Temmer; Tenney; Terracini;
      Than; Thavaneswaran; Theodos; Thibault; Thisted; Thomsen; Throop;
      Tierney; Till; Timmons; Tofallis; Tollestrup; Tolls; Tolman; Tomford;
      Toomer; Topulos; Torresi; Torske; Towler; Toye; Traebert; Trenga;
      Trewin; Tringali; Troiani; Troy; Truss; Tsiatis; Tsomides; Tsukurov;
      Tuck; Tudge; Tukan; Turano; Turek; Tuttle; Twells; Tzamarias; Ullman;
      Untermeyer; Upsdell; Urban; Urdang-Brown; Usdan; Uzuner; Vacca; Waite;
      Valberg; Valencia; Wales; Wallenberg; Walter; vanAllen; VanZwet;
      Vandenberg; Vanheeckeren; Warshafsky; Wasowska; Vasquez; Waugh;
      Weighart; Weingarten; Weinhaus; Weissbourd; Weissman; Velasquez;
      Welles; Welsh; Wengret; Venne; Verghese; Wescott; Wetzel; Whately;
      Whilton; White; Whitla; Whittaker; Viana; Viano; Wiedersheim; Wiener;
      Viens; Vignola; Wilder; Wilhelm; Wilk; Wilkin; Wilkinson; Villarreal;
      Willstatter; Wilson; Vitali; Viviani; Voigt; Wolk; VonHoffman; Woo;
      Wooden; Woods; Woods-Powell; Vorhaus; Votey; Yacono; Yamane; Yankee;
      Yarchuk; Yates; Ybarra; Yedidia; Yesson; Yetiv; Yoffe; Yoo; Youk-See;
      Yu; Zachary; Zahedi; Zangwill; Zegans; Zerbini; Zoldak; Zucconi; Zurn;
      Zwiers; Zytowski

Exploit:
Faz uso dos seguintes Exploits:
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnerability in Server Service)

Criação de endereços IP:
Cria endereços IP aleatórios enquanto mantém os primeiros dois octetos do seu próprio endereço. Depois tenta estabelecer uma ligação com os endereços criados.

Processo de infecção:
Cria um script TFTP ou FTP na máquina a atacada para permitir o download do malware da máquina atacante.

Execução remota:
–Tenta programar uma execução remota do malware, na máquina recentemente infectada. Então usa a função de NetScheduleJobAdd.

IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: betabot.isgre.**********
Porta: 9010
Palavra-chave do servidor: r0ot3d!@!
Canal #BetaBot
Nickname: USA|%cinco caracteres aleatórios%

– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Captura do ecrã
    • Velocidade do CPU
    • Utilizador Actual
    • Espaço disponível no disco
    • Memória disponível
    • Tempo de vida do malware
    • Informações sobre a rede
    • Capacidade da memória

– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Lança DDoS ICMP floods
    • Lança DDoS SYN floods
    • Lança DDoS TCP floods
    • Lança DDoS UDP floods
    • Desactiva partilhas de rede
    • Desliga-se do servidor de IRC
    • Activa partilhas de rede
    • Executa o ficheiro
    • Ligação ao canal IRC
    • Termina processos
    • Abre ligações remotas
    • Ataque de Negação de Serviços (ataque DoS)
    • Executa pesquisas na rede
    • Redireccionamento de porta
    • Reinicia
    • Envia emails
    • Termina processos
    • Actualiza-se a ele próprio
    • Upload de ficheiros
    • Visita um Web site

Terminar o processo A seguinte lista de processos são terminados:
   • ACKWIN32.EXE; ADAWARE.EXE; ADVXDWIN.EXE; AGENTSVR.EXE; AGENTW.EXE;
      ALERTSVC.EXE; ALEVIR.EXE; ALOGSERV.EXE; AMON9X.EXE; ANTI-TROJAN.EXE;
      ANTIVIRUS.EXE; ANTS.EXE; APIMONITOR.EXE; APLICA32.EXE; APVXDWIN.EXE;
      ARR.EXE; ATCON.EXE; ATGUARD.EXE; ATRO55EN.EXE; ATUPDATER.EXE;
      ATUPDATER.EXE; ATWATCH.EXE; AU.EXE; AUPDATE.EXE; AUPDATE.EXE;
      AUTODOWN.EXE; AUTODOWN.EXE; AUTOTRACE.EXE; AUTOTRACE.EXE;
      AUTOUPDATE.EXE; AUTOUPDATE.EXE; AVCONSOL.EXE; AVE32.EXE; AVGCC32.EXE;
      AVGCTRL.EXE; AVGNT.EXE; AVGSERV.EXE; AVGSERV9.EXE; AVGUARD.EXE;
      AVGW.EXE; AVKPOP.EXE; AVKSERV.EXE; AVKSERVICE.EXE; AVKWCTl9.EXE;
      AVLTMAIN.EXE; AVNT.EXE; AVP.EXE; AVP32.EXE; AVPCC.EXE; AVPDOS32.EXE;
      AVPM.EXE; AVPTC32.EXE; AVPUPD.EXE; AVPUPD.EXE; AVSCHED32.EXE;
      AVSYNMGR.EXE; AVWIN95.EXE; AVWINNT.EXE; AVWUPD.EXE; AVWUPD32.EXE;
      AVWUPD32.EXE; AVWUPSRV.EXE; AVXMONITOR9X.EXE; AVXMONITORNT.EXE;
      AVXQUAR.EXE; AVXQUAR.EXE; BACKWEB.EXE; BARGAINS.EXE;
      BD_PROFESSIONAL.EXE; BEAGLE.EXE; BELT.EXE; BIDEF.EXE; BIDSERVER.EXE;
      BIPCP.EXE; BIPCPEVALSETUP.EXE; BISP.EXE; BLACKD.EXE; BLACKICE.EXE;
      BLSS.EXE; BOOTCONF.EXE; BOOTWARN.EXE; BORG2.EXE; BPC.EXE; BRASIL.EXE;
      BS120.EXE; BUNDLE.EXE; BVT.EXE; CCAPP.EXE; CCEVTMGR.EXE; CCPXYSVC.EXE;
      CDP.EXE; CFD.EXE; CFGWIZ.EXE; CFIADMIN.EXE; CFIAUDIT.EXE;
      CFIAUDIT.EXE; CFINET.EXE; CFINET32.EXE; CLAW95CF.EXE; CLEAN.EXE;
      CLEANER.EXE; CLEANER3.EXE; CLEANPC.EXE; CLICK.EXE; CMD32.EXE;
      CMESYS.EXE; CMGRDIAN.EXE; CMON016.EXE; CONNECTIONMONITOR.EXE; CPD.EXE;
      CPF9X206.EXE; CPFNT206.EXE; CTRL.EXE; CV.EXE; CWNB181.EXE;
      CWNTDWMO.EXE; Claw95.EXE; CLAW95CF.EXE; DATEMANAGER.EXE; DCOMX.EXE;
      DEFALERT.EXE; DEFSCANGUI.EXE; DEFWATCH.EXE; DEPUTY.EXE; DIVX.EXE;
      DLLCACHE.EXE; DLLREG.EXE; DOORS.EXE; DPF.EXE; DPFSETUP.EXE; DPPS2.EXE;
      DRWATSON.EXE; DRWEB32.EXE; DRWEBUPW.EXE; DSSAGENT.EXE; DVP95.EXE;
      DVP95_0.EXE; ECENGINE.EXE; EFPEADM.EXE; EMSW.EXE; ENT.EXE; ESAFE.EXE;
      ESCANH95.EXE; ESCANHNT.EXE; ESCANV95.EXE; ESPWATCH.EXE; ETHEREAL.EXE;
      ETRUSTCIPE.EXE; EVPN.EXE; EXANTIVIRUS-CNET.EXE; EXE.AVXW.EXE;
      EXPERT.EXE; EXPLORE.EXE; F-AGNT95.EXE; F-PROT.EXE; F-PROT95.EXE;
      F-STOPW.EXE; FAMEH32.EXE; FAST.EXE; FCH32.EXE; FIH32.EXE;
      FINDVIRU.EXE; FIREWALL.EXE; FLOWPROTECTOR.EXE; FNRB32.EXE; FP-WIN.EXE;
      FP-WIN_TRIAL.EXE; FPROT.EXE; FRW.EXE; FSAA.EXE; FSAV.EXE; FSAV32.EXE;
      FSAV530STBYB.EXE; FSAV530WTBYB.EXE; FSAV95.EXE; FSGK32.EXE; FSM32.EXE;
      FSMA32.EXE; FSMB32.EXE; GATOR.EXE; GBMENU.EXE; GBPOLL.EXE;
      GENERICS.EXE; GMT.EXE; GUARD.EXE; GUARDDOG.EXE; HACKTRACERSETUP.EXE;
      HBINST.EXE; HBSRV.EXE; HOTACTIO.EXE; HOTPATCH.EXE; HTLOG.EXE;
      HTPATCH.EXE; HWPE.EXE; HXDL.EXE; HXIUL.EXE; IAMAPP.EXE; IAMSERV.EXE;
      IAMSTATS.EXE; IBMASN.EXE; IBMAVSP.EXE; ICLOAD95.EXE; ICLOADNT.EXE;
      ICMON.EXE; ICSUPP95.EXE; ICSUPP95.EXE; ICSUPPNT.EXE; IDLE.EXE;
      IEDLL.EXE; IEDRIVER.EXE; IEXPLORER.EXE; IFACE.EXE; IFW2000.EXE;
      INETLNFO.EXE; INFUS.EXE; INFWIN.EXE; INIT.EXE; INTDEL.EXE; INTREN.EXE;
      IOMON98.EXE; IPARMOR.EXE; IRIS.EXE; ISASS.EXE; ISRV95.EXE; ISTSVC.EXE;
      JAMMER.EXE; JDBGMRG.EXE; JEDI.EXE; KAVLITE40ENG.EXE; KAVPERS40ENG.EXE;
      KAVPF.EXE; KAZZA.EXE; KEENVALUE.EXE; KERIO-PF-213-EN-WIN.EXE;
      KERIO-WRL-421-EN-WIN.EXE; KERIO-WRP-421-EN-WIN.EXE; KERNEL32.EXE;
      KILLPROCESSSETUP161.EXE; LAUNCHER.EXE; LDNETMON.EXE; LDPRO.EXE;
      LDPROMENU.EXE; LDSCAN.EXE; LNETINFO.EXE; LOADER.EXE; LOCALNET.EXE;
      LOCKDOWN.EXE; LOCKDOWN2000.EXE; LOOKOUT.EXE; LORDPE.EXE; LSETUP.EXE;
      LUALL.EXE; LUALL.EXE; LUAU.EXE; LUCOMSERVER.EXE; LUINIT.EXE;
      LUSPT.EXE; MAPISVC32.EXE; MCAGENT.EXE; MCMNHDLR.EXE; MCSHIELD.EXE;
      MCTOOL.EXE; MCUPDATE.EXE; MCUPDATE.EXE; MCVSRTE.EXE; MCVSSHLD.EXE;
      MD.EXE; MFIN32.EXE; MFW2EN.EXE; MFWENG3.02D30.EXE; MGAVRTCL.EXE;
      MGAVRTE.EXE; MGHTML.EXE; MGUI.EXE; MINILOG.EXE; MMOD.EXE; MONITOR.EXE;
      MOOLIVE.EXE; MOSTAT.EXE; MPFAGENT.EXE; MPFSERVICE.EXE; MPFTRAY.EXE;
      MRFLUX.EXE; MSAPP.EXE; MSBB.EXE; MSBLAST.EXE; MSCACHE.EXE;
      MSCCN32.EXE; MSCMAN.EXE; MSCONFIG.EXE; MSDM.EXE; MSDOS.EXE;
      MSIEXEC16.EXE; MSINFO32.EXE; MSLAUGH.EXE; MSMGT.EXE; MSMSGRI32.EXE;
      MSSMMC32.EXE; MSSYS.EXE; MSVXD.EXE; MU0311AD.EXE; MWATCH.EXE;
      N32SCANW.EXE; NAV.EXE; AUTO-PROTECT.NAV80TRY.EXE; NAVAP.NAVAPSVC.EXE;
      NAVAPSVC.EXE; NAVAPW32.EXE; NAVDX.EXE; NAVENGNAVEX15.NAVLU32.EXE;
      NAVLU32.EXE; NAVNT.EXE; NAVSTUB.EXE; NAVW32.EXE; NAVWNT.EXE;
      NC2000.EXE; NCINST4.EXE; NDD32.EXE; NEOMONITOR.EXE; NEOWATCHLOG.EXE;
      NETARMOR.EXE; NETD32.EXE; NETINFO.EXE; NETMON.EXE; NETSCANPRO.EXE;
      NETSPYHUNTER-1.2.EXE; NETSTAT.EXE; NETUTILS.EXE; NISSERV.EXE;
      NISUM.EXE; NMAIN.EXE; NOD32.EXE; NORMIST.EXE;
      NORTON_INTERNET_SECU_3.0_407.EXE; NOTSTART.EXE;
      NPF40_TW_98_NT_ME_2K.EXE; NPFMESSENGER.EXE; NPROTECT.EXE;
      NPSCHECK.EXE; NPSSVC.EXE; NSCHED32.EXE; NSSYS32.EXE; NSTASK32.EXE;
      NSUPDATE.EXE; NT.EXE; NTRTSCAN.EXE; NTVDM.EXE; NTXconfig.EXE; NUI.EXE;
      NUPGRADE.EXE; NUPGRADE.EXE; NVARCH16.EXE; NVC95.EXE; NVSVC32.EXE;
      NWINST4.EXE; NWSERVICE.EXE; NWTOOL16.EXE; OLLYDBG.EXE; ONSRVR.EXE;
      OPTIMIZE.EXE; OSTRONET.EXE; OTFIX.EXE; OUTPOST.EXE; OUTPOST.EXE;
      OUTPOSTINSTALL.EXE; OUTPOSTPROINSTALL.EXE; PADMIN.EXE; PANIXK.EXE;
      PATCH.EXE; PAVCL.EXE; PAVPROXY.EXE; PAVSCHED.EXE; PAVW.EXE;
      PCC2002S902.EXE; PCC2K_76_1436.EXE; PCCIOMON.EXE; PCCNTMON.EXE;
      PCCWIN97.EXE; PCCWIN98.EXE; PCDSETUP.EXE; PCFWALLICON.EXE;
      PCIP10117_0.EXE; PCSCAN.EXE; PDSETUP.EXE; PENIS.EXE; PERISCOPE.EXE;
      PERSFW.EXE; PERSWF.EXE; PF2.EXE; PFWADMIN.EXE; PGMONITR.EXE;
      PINGSCAN.EXE; PLATIN.EXE; POP3TRAP.EXE; POPROXY.EXE; POPSCAN.EXE;
      PORTDETECTIVE.EXE; PORTMONITOR.EXE; POWERSCAN.EXE; PPINUPDT.EXE;
      PPTBC.EXE; PPVSTOP.EXE; PRIZESURFER.EXE; PRMT.EXE; PRMVR.EXE;
      PROCDUMP.EXE; PROCESSMONITOR.EXE; PROCEXPLORERV1.0.EXE;
      PROGRAMAUDITOR.EXE; PROPORT.EXE; PROTECTX.EXE; PSPF.EXE; PURGE.EXE;
      PUSSY.EXE; PVIEW95.EXE; QCONSOLE.EXE; QSERVER.EXE; RAPAPP.EXE;
      RAV7.EXE; RAV7WIN.EXE; RAV8WIN32ENG.EXE; RAY.EXE; RB32.EXE;
      RCSYNC.EXE; REALMON.EXE; REGED.EXE; REGEDIT.EXE; REGEDT32.EXE;
      RESCUE.EXE; RESCUE32.EXE; RRGUARD.EXE; RSHELL.EXE; RTVSCAN.EXE;
      RTVSCN95.EXE; RULAUNCH.EXE; RUN32DLL.EXE; RUNDLL.EXE; RUNDLL16.EXE;
      RUXDLL32.EXE; SAFEWEB.EXE; SAHAGENT.EXE; SAVE.EXE; SAVENOW.EXE;
      SBSERV.EXE; SC.EXE; SCAM32.EXE; SCAN32.EXE; SCAN95.EXE; SCANPM.EXE;
      SCRSCAN.EXE; SCRSVR.EXE; SCVHOST.EXE; SD.EXE; SERV95.EXE; SERVICE.EXE;
      SERVLCE.EXE; SERVLCES.EXE; SETUPVAMEEVAL.EXE;
      SETUP_FLOWPROTECTOR_US.EXE; SFC.EXE; SGSSFW32.EXE; SH.EXE;
      SHELLSPYINSTALL.EXE; SHN.EXE; SHOWBEHIND.EXE; SMC.EXE; SMS.EXE;
      SMSS32.EXE; SOAP.EXE; SOFI.EXE; SPERM.EXE; SPF.EXE; SPHINX.EXE;
      SPOLER.EXE; SPOOLCV.EXE; SPOOLSV32.EXE; SPYXX.EXE; SREXE.EXE;
      SRNG.EXE; SS3EDIT.EXE; SSGRATE.EXE; SSG_4104.EXE; ST2.EXE; START.EXE;
      STCLOADER.EXE; SUPFTRL.EXE; SUPPORT.EXE; SUPPORTER5.EXE; SVC.EXE;
      SVCHOSTC.EXE; SVCHOSTS.EXE; SVSHOST.EXE; SWEEP95.EXE;
      SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE; SYMPROXYSVC.EXE; SYMTRAY.EXE;
      SYSEDIT.EXE; SYSTEM.EXE; SYSTEM32.EXE; SYSUPD.EXE; TASKMG.EXE;
      TASKMO.EXE; TASKMON.EXE; TAUMON.EXE; TBSCAN.EXE; TC.EXE; TCA.EXE;
      TCM.EXE; TDS-3.EXE; TDS2-98.EXE; TDS2-NT.EXE; TEEKIDS.EXE; TFAK.EXE;
      TFAK5.EXE; TGBOB.EXE; TITANIN.EXE; TITANINXP.EXE; TRACERT.EXE;
      TRICKLER.EXE; TRJSCAN.EXE; TRJSETUP.EXE; TROJANTRAP3.EXE; TSADBOT.EXE;
      TVMD.EXE; TVTMD.EXE; UNDOBOOT.EXE; UPDAT.EXE; UPDATE.EXE; UPDATE.EXE;
      UPGRAD.EXE; UTPOST.EXE; VBCMSERV.EXE; VBCONS.EXE; VBUST.EXE;
      VBWIN9X.EXE; VBWINNTW.EXE; VCSETUP.EXE; VET32.EXE; VET95.EXE;
      VETTRAY.EXE; VFSETUP.EXE; VIR-HELP.EXE; VIRUSMDPERSONALFIREWALL.EXE;
      VNLAN300.EXE; VNPC3000.EXE; VPC32.EXE; VPC42.EXE; VPFW30S.EXE;
      VPTRAY.EXE; VSCAN40.EXE; VSCENU6.02D30.EXE; VSCHED.EXE; VSECOMR.EXE;
      VSHWIN32.EXE; VSISETUP.EXE; VSMAIN.EXE; VSMON.EXE; VSSTAT.EXE;
      VSWIN9XE.EXE; VSWINNTSE.EXE; VSWINPERSE.EXE; W32DSM89.EXE; W9X.EXE;
      WATCHDOG.EXE; WEBDAV.EXE; WEBSCANX.EXE; WEBTRAP.EXE; WFINDV32.EXE;
      WGFE95.EXE; WHOSWATCHINGME.EXE; WIMMUN32.EXE; WIN-BUGSFIX.EXE;
      WIN32.EXE; WIN32US.EXE; WINACTIVE.EXE; WINDOW.EXE; WINDOWS.EXE;
      WININETD.EXE; WININIT.EXE; WININITX.EXE; WINLOGIN.EXE; WINMAIN.EXE;
      WINNET.EXE; WINPPR32.EXE; WINRECON.EXE; WINSERVN.EXE; WINSSK32.EXE;
      WINSTART.EXE; WINSTART001.EXE; WINTSK32.EXE; WINUPDATE.EXE;
      WKUFIND.EXE; WNAD.EXE; WNT.EXE; WRADMIN.EXE; WRCTRL.EXE; WSBGATE.EXE;
      WUPDATER.EXE; WUPDT.EXE; WYVERNWORKSFIREWALL.EXE; XPF202EN.EXE;
      ZAPRO.EXE; ZAPSETUP3001.EXE; ZATUTOR.EXE; ZONALM2601.EXE;
      ZONEALARM.EXE; _AVP32.EXE; _AVPCC.EXE; _AVPM.EXE; HIJACKTHIS.EXE;
      F-AGOBOT.EXE; PandaAVEngine.exe; sysinfo.exe; mscvb32.exe;
      Penis32.exe; bbeagle.exe; SysMonXP.exe; winupd.exe; winsys.exe;
      ssate.exe; rate.exe; d3dupdate.exe; irun4.exe; i11r54n4.exe

Backdoor São abertas as seguintes portas:

– %SYSDIR%\dsass.exe numa porta TCP aleatória Por forma a fornecer um servidor FTP.
– %SYSDIR%\dsass.exe numa porta TCP 113

Roubos de informação Tenta roubar a seguinte informação:
– Windows Product ID

– As seguintes CD Keys:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White;
      Command & Conquer Generals; Command and Conquer: Generals (Zero Hour);
      Command and Conquer: Red Alert 2; Command and Conquer: Tiberian Sun;
      Counter-Strike (Retail); Chrome; FIFA 2002; FIFA 2003; Freedom Force;
      Global Operations; Gunman Chronicles; Half-Life; Hidden & Dangerous 2;
      IGI 2: Covert Strike; Industry Giant 2; James Bond 007: Nightfire;
      Legends of Might and Magic; Medal of Honor: Allied Assault; Medal of
      Honor: Allied Assault: Breakthrough; Medal of Honor: Allied Assault:
      Spearhead; Nascar Racing 2002; Nascar Racing 2003; Need For Speed Hot
      Pursuit 2; Need For Speed: Underground; Neverwinter Nights;
      Neverwinter Nights (Hordes of the Underdark); Neverwinter Nights
      (Shadows of Undrentide); NHL 2003; NHL 2002; NOX; Rainbow Six III
      RavenShield; Shogun: Total War: Warlord Edition; Soldier of Fortune II
      - Double Helix; Soldiers Of Anarchy; The Gladiators; Unreal Tournament
      2003; Unreal Tournament 2004

– Usa um sniffer de rede para pesquisar os seguintes textos:
   • :.login; :,login; :!login; :@login; :$login; :%login; :^login;
      :*login; :-login; :+login; :/login; :\login; :=login; :?login;
      :'login; :`login; :~login; : login; :.auth; :,auth; :!auth; :@auth;
      :$auth; :%auth; :^auth; :&auth; :*auth; :-auth; :+auth; :/auth;
      :\auth; :=auth; :?auth; :'auth; :`auth; :~auth; : auth; :.id; :,id;
      :!id; :@id; :$id; :%id; :^id; :&id; :*id; :-id; :+id; :/id; :\id;
      :=id; :?id; :'id; :`id; :~id; : id; :.hashin; :!hashin; :$hashin;
      :%hashin; :.secure; :!secure; :.l; :!l; :$l; :%l; :.x; :!x; :$x; :%x;
      :.syn; :!syn; :$syn; :%syn; :!ident; :.ident

– É iniciada uma rotina de logging depois de digitadar o seguinte texto:
   • paypal

– Captura:
    • Teclar

– É iniciada uma rotina de logging depois de visitar um dos seguintes Web sites:
   • www.hotmail.com
   • www.paypal.com

– É iniciada uma rotina de logging depois de visitar um Web site, que contenha o seguinte texto no URL:
   • paypal

– Captura:
    • Tráfico de Internet
    • Informação de login

Informações diversas Procura uma ligação de internet contactando um dos seguintes web sites:
   • www.schlund.net; www.utwente.nl; verio.fr; www.1und1.de;
      www.switch.ch; www.belwue.de; de.yahoo.com; www.google.it; www.xo.net;
      www.stanford.edu; www.verio.com; www.nocster.com; www.rit.edu;
      www.cogentco.com; www.burst.net; nitro.ucsc.edu; www.level3.com;
      www.above.net; www.easynews.com; www.google.com; www.lib.nthu.edu.tw;
      www.st.lib.keio.ac.jp; www.d1asia.com; www.nifty.com; yahoo.co.jp;
      www.google.co.jp

Mutex:
Cria o seguinte Mutex:
   • BetaBot

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• Neolite

Descrição enviada por Monica Ghitun em quinta-feira, 24 de maio de 2007
Descrição atualizada por Monica Ghitun em sexta-feira, 25 de maio de 2007

Voltar . . . .