VírusWorm/Kolabc.WN
Data em que surgiu:23/04/2008
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:52.624 Bytes
MD5 checksum:65cf5d3bc5efd0d4ffcf83bfb59ba33b
Versão VDF:7.00.03.203

 Vulgarmente Meios de transmissão:
   • Rede local
   • Unidade de rede


Alias:
   •  Symantec: W32.IRCbot
   •  Mcafee: Puper
   •  Kaspersky: Net-Worm.Win32.Kolabc.wn
   •  F-Secure: Net-Worm.Win32.Kolabc.wn
   •  Panda: W32/Sdbot.LUQ.worm
   •  VirusBuster: Worm.Poebot.OA
   •  Eset: Win32/Poebot.NBF
   •  Bitdefender: Backdoor.IRCBot.ACGJ


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Envia uma cópia de si mesmo usando um nome seguinte lista:
– Para: %SYSDIR%\ Usando um dos nomes seguintes:
   • winamp.exe
   • winIogon.exe
   • firewall.exe
   • spooIsv.exe
   • spoolsvc.exe
   • Isass.exe
   • lssas.exe
   • algs.exe
   • logon.exe
   • iexplore.exe




É criado o seguinte ficheiro:

%directório de execução do malware%:\%cinco caracteres aleatórios%.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.



Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://alwayssam**********
Encontra-se no disco rígido: %SYSDIR%\%uma série de caracteres aleatórios%.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.

– A partir da seguinte localização:
   • http://alwayssam**********
Encontra-se no disco rígido: %SYSDIR%\%uma série de caracteres aleatórios%.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.

– A partir da seguinte localização:
   • http://alwayssam**********
Encontra-se no disco rígido: %SYSDIR%\%uma série de caracteres aleatórios%.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.

– A partir da seguinte localização:
   • http://zonetech**********
Encontra-se no disco rígido: %SYSDIR%\%uma série de caracteres aleatórios%.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Este ficheiro de processamento em lote é usado para apagar um ficheiro.

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Windows Network Firewall="%SYSDIR%\firewall.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Winamp Agent"="%SYSDIR%\winamp.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Spooler SubSystem App"="%SYSDIR%\spoolsvc.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Logon Application"="%SYSDIR%\winIogon.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Logon Application"="%SYSDIR%\logon.exe"

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • IPC$
   • print$
   • C$\Documents and Settings\All Users\Documents\$
   • admin$
   • Admin$\system32
   • c$\windows\system32
   • c$\winnt\system32
   • c$\windows
   • c$\winnt
   • e$\shared
   • d$\shared
   • c$\shared


Usa a seguinte informação de login para ganhar acesso à máquina remota:

– A seguinte lista de nomes de utilizadores:
   • staff; teacher; owner; student; intranet; lan; main; office; control;
      siemens; compaq; dell; cisco; ibm; oracle; sql; data; access;
      database; domain; god; backup; technical; mary; katie; kate; george;
      eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
      luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
      user; homeuser; home; internet; www; web; root; server; linux; unix;
      computer; adm; admin; admins; administrat; administrateur;
      administrador; administrator

– A seguinte lista de palavras-chave:
   • winpass; blank; nokia; orainstall; sqlpassoainstall; databasepassword;
      databasepass; dbpassword; dbpass; domainpassword; domainpass; hello;
      hell; love; money; slut; bitch; fuck; exchange; loginpass; login; qwe;
      zxc; asd; qaz; win2000; winnt; winxp; win2k; win98; windows;
      oeminstall; oem; accounting; accounts; letmein; sex; outlook; mail;
      qwerty; temp123; temp; null; default; changeme; demo; test; secret;
      payday; deadline; work; pwd; pass; pass1234; dba; passwd; password;
      password1



Processo de infecção:
Cria um script TFTP ou FTP na máquina a atacada para permitir o download do malware da máquina atacante.

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: hub.54**********
Porta: 1863
Canal #las6;#rs2;#fox;# 63;# kok6
Nickname: Cyzuzeof
Palavra-chave stseelkvyyrucnss

Servidor: xx.ka3**********
Porta: 5190
Canal #las6;#rs2;#fox;# 63;# kok6
Nickname: Cyzuzeof

Servidor: p.ircs**********
Porta: 8080
Canal #las6;#rs2;#fox;# 63;# kok6
Nickname: Cyzuzeof

Servidor: n.ircs**********
Porta: 5555
Canal #las6;#rs2;#fox;# 63;# kok6
Nickname: Cyzuzeof

Servidor: xx.sql**********
Porta: 7000
Canal las6;#rs2;#fox;# 63;# kok6
Nickname: Cyzuzeof



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Utilizador Actual
    • Espaço disponível no disco
    • Memória disponível
    • Tempo de vida do malware
    • Informações sobre a rede
    • Nome de utilizador
    • Informação sobre o sistema operativo Windows


– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Desliga-se do servidor de IRC
    • Ligação ao canal IRC
    • Abandona canais IRC
    • Upload de ficheiros

 Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave digitadas em 'campos de entrada de palavras-chave'
– Palavras-chave guardadas e que são usadas pela função AutoComplete

– As palavras-chave dos seguintes programas:
   • UnrealIRCD
   • Steam
   • World Of Warcraft
   • Conquer Online

– Usa um sniffer de rede para pesquisar os seguintes textos:
   • irc operator; paypal; paypal.com; cd key; cd-key; cdkey; passwort;
      auth; sxt; login; pass=; login=; password=; username=; passwd=; :auth;
      identify; oper; MailPass; pass; unknown; user

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • WinUpack

Descrição enviada por Alexandru Dinu em quarta-feira, 30 de julho de 2008
Descrição atualizada por Alexandru Dinu em quarta-feira, 30 de julho de 2008

Voltar . . . .