Full description

Nume:	Worm/Kolabc.WN
Descoperit pe data de:	23/04/2008
Tip:	Vierme
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Mediu
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	52.624 Bytes
MD5:	65cf5d3bc5efd0d4ffcf83bfb59ba33b
Versiune VDF:	7.00.03.203

General Metode de raspandire:
   • Reteaua locala
   • Discuri de retea mapate

Alias:
   • Symantec: W32.IRCbot
   • Mcafee: Puper
   • Kaspersky: Net-Worm.Win32.Kolabc.wn
   • F-Secure: Net-Worm.Win32.Kolabc.wn
   • Panda: W32/Sdbot.LUQ.worm
   • VirusBuster: Worm.Poebot.OA
   • Eset: Win32/Poebot.NBF
   • Bitdefender: Backdoor.IRCBot.ACGJ

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Descarca fisiere malware
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

Fisiere Scrie pe disc o copie a lui alegand numele fisierului dintr-o lista:
– Catre: %SYSDIR%\ Folosind unul din urmatoarele nume:
   • winamp.exe
   • winIogon.exe
   • firewall.exe
   • spooIsv.exe
   • spoolsvc.exe
   • Isass.exe
   • lssas.exe
   • algs.exe
   • logon.exe
   • iexplore.exe

Este creat fisierul:

– %directorul de activare malware%:\%sir de 5 caractere aleatoare%.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.

Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://alwayssam**********
Fisierul este stocat pe hard disc la: %SYSDIR%\%combinatie de caractere aleatoare%.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

– Adresa este urmatoarea:
   • http://alwayssam**********
Fisierul este stocat pe hard disc la: %SYSDIR%\%combinatie de caractere aleatoare%.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

– Adresa este urmatoarea:
   • http://alwayssam**********
Fisierul este stocat pe hard disc la: %SYSDIR%\%combinatie de caractere aleatoare%.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

– Adresa este urmatoarea:
   • http://zonetech**********
Fisierul este stocat pe hard disc la: %SYSDIR%\%combinatie de caractere aleatoare%.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Fisierul batch este folosit pentru stergerea unui fisier.

Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Windows Network Firewall="%SYSDIR%\firewall.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Winamp Agent"="%SYSDIR%\winamp.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Client Server Runtime Process"="%SYSDIR%\csrs.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Spooler SubSystem App"="%SYSDIR%\spoolsvc.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Logon Application"="%SYSDIR%\winIogon.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Logon Application"="%SYSDIR%\logon.exe"

Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • IPC$
   • print$
   • C$\Documents and Settings\All Users\Documents\$
   • admin$
   • Admin$\system32
   • c$\windows\system32
   • c$\winnt\system32
   • c$\windows
   • c$\winnt
   • e$\shared
   • d$\shared
   • c$\shared

Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

– Lista de utilizatori:
   • staff; teacher; owner; student; intranet; lan; main; office; control;
      siemens; compaq; dell; cisco; ibm; oracle; sql; data; access;
      database; domain; god; backup; technical; mary; katie; kate; george;
      eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
      luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
      user; homeuser; home; internet; www; web; root; server; linux; unix;
      computer; adm; admin; admins; administrat; administrateur;
      administrador; administrator

– Lista de parole:
   • winpass; blank; nokia; orainstall; sqlpassoainstall; databasepassword;
      databasepass; dbpassword; dbpass; domainpassword; domainpass; hello;
      hell; love; money; slut; bitch; fuck; exchange; loginpass; login; qwe;
      zxc; asd; qaz; win2000; winnt; winxp; win2k; win98; windows;
      oeminstall; oem; accounting; accounts; letmein; sex; outlook; mail;
      qwerty; temp123; temp; null; default; changeme; demo; test; secret;
      payday; deadline; work; pwd; pass; pass1234; dba; passwd; password;
      password1

Procesul de infectare:
Creeaza un script TFTP sau FTP pe masina afectata, pentru a descarca malware la distanta, pe un alt sistem.

IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: hub.54**********
Port: 1863
Canal: #las6;#rs2;#fox;# 63;# kok6
Nick: Cyzuzeof
Parola: stseelkvyyrucnss

Server: xx.ka3**********
Port: 5190
Canal: #las6;#rs2;#fox;# 63;# kok6
Nick: Cyzuzeof

Server: p.ircs**********
Port: 8080
Canal: #las6;#rs2;#fox;# 63;# kok6
Nick: Cyzuzeof

Server: n.ircs**********
Port: 5555
Canal: #las6;#rs2;#fox;# 63;# kok6
Nick: Cyzuzeof

Server: xx.sql**********
Port: 7000
Canal: las6;#rs2;#fox;# 63;# kok6
Nick: Cyzuzeof

– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Utilizatorul curent
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • Utilizator
    • Informatii despre sistemul de operare

– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • deconectare server IRC
    • intrare pe canal IRC
    • parasire canal IRC
    • Face upload la un fisier

Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare
– Parole stocate, folosite de functia AutoComplete

– Parolele din urmatoarele programe:
   • UnrealIRCD
   • Steam
   • World Of Warcraft
   • Conquer Online

– Monitorizeaza reteaua folosind un sniffer si cauta urmatoarele siruri de caractere:
   • irc operator; paypal; paypal.com; cd key; cd-key; cdkey; passwort;
      auth; sxt; login; pass=; login=; password=; username=; passwd=; :auth;
      identify; oper; MailPass; pass; unknown; user

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
• WinUpack

Descrição enviada por Alexandru Dinu em quarta-feira, 30 de julho de 2008
Descrição atualizada por Alexandru Dinu em quarta-feira, 30 de julho de 2008

Voltar . . . .

Proteçao especial para PCs

Produtos gratuitos

Produtos mais populares

Todos os produtos

Soluçoes em pacote

Estaçoes de trabalho

Server

Soluçoes em pacote

Mail Gateways

Web Gateways

Plataformas de colaboraçao

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas