VírusWorm/Irc.937984.A.1
Data em que surgiu:16/04/2008
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Médio
Nível de risco:De médio a elevado
Ficheiro estático:Sim
Tamanho:937.984 Bytes
MD5 checksum:0fdbc5a72182e58ea1211c2d5c57ca77
Versão IVDF:7.00.03.175 - quarta-feira, 16 de abril de 2008

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Mcafee: W32/Sdbot.worm virus
   •  Sophos: W32/Rbot-GVM
   •  Panda: W32/IRCbot.BLI.worm
   •  Eset: Win32/Rbot
   •  Bitdefender: Trojan.Generic.2268503


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\svehost.exe



Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

%SYSDIR%\drivers\npf.sys
%SYSDIR%\packet.dll
%SYSDIR%\wpcap.dll

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Microsoft Updates"="svehost.exe"



Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Updates"="svehost.exe"



Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\NPF]
   • "DisplayName"="Netgroup Packet Filter"
   • "ErrorControl"=dword:0x00000001
   • "ImagePath"="system32\drivers\npf.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\OLE]
   • "Microsoft Updates"="svehost.exe"



Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Valor recente:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valor recente:
   • "restrictanonymous"=dword:0x00000001

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Usa a seguinte informação de login para ganhar acesso à máquina remota:

– A seguinte lista de nomes de utilizadores:
   • Zytowski; Zwiers; Zurn; Zucconi; Zoldak; Zerbini; Zegans; Zangwill;
      Zahedi; Zachary; Yu; Youk-See; Yoo; Yoffe; Yetiv; Yesson; Yedidia;
      Ybarra; Yates; Yarchuk; Yankee; Yamane; Yacono; Votey; Vorhaus;
      Woods-Powell; Woods; Wooden; Woo; VonHoffman; Wolk; Voigt; Viviani;
      Vitali; Wilson; Willstatter; Villarreal; Wilkinson; Wilkin; Wilk;
      Wilhelm; Wilder; Vignola; Viens; Wiener; Wiedersheim; Viano; Viana;
      Whittaker; Whitla; White; Whilton; Whately; Wetzel; Wescott; Verghese;
      Venne; Wengret; Welsh; Welles; Velasquez; Weissman; Weissbourd;
      Weinhaus; Weingarten; Weighart; Waugh; Vasquez; Wasowska; Warshafsky;
      Vanheeckeren; Vandenberg; VanZwet; vanAllen; Walter; Wallenberg;
      Wales; Valencia; Valberg; Waite; Vacca; Uzuner; Usdan; Urdang-Brown;
      Urban; Upsdell; Untermeyer; Ullman; Tzamarias; Twells; Tuttle; Turek;
      Turano; Tukan; Tudge; Tuck; Tsukurov; Tsomides; Tsiatis; Truss; Troy;
      Troiani; Tringali; Trewin; Trenga; Traebert; Toye; Towler; Torske;
      Torresi; Topulos; Toomer; Tomford; Tolman; Tolls; Tollestrup;
      Tofallis; Timmons; Till; Tierney; Throop; Thomsen; Thisted; Thibault;
      Theodos; Thavaneswaran; Than; Terracini; Tenney; Temmer; Temes;
      Teague; Tcherepnin; Tawn; Taveras; Tatar; Tanowitz; Tandler; Tambiah;
      Talaugon; Tai; Tagiuri; Swindle; Sweetser; Sweeting; Surdam; Suo;
      Sumner; Sullivan; Stringer; Streiff; Strauch; Strange; Stott; Storer;
      Stonich; Stolzenberg; Stockwell; Stockton; Stock; Stillwell; Stiepock;
      Stewart-Oaten; Stepniewska; Stephanian; Steiner; Stefani; Statlender;
      States; Stassinopolus; Stang; Stam; Stalvey; StMartin; Spinrad;
      Spiliotis; Spiegelhalter; Spicer; Sperber; Spence; Speizer; Spaulding;
      Sparrow; Spanier; Soultanian; Soule; Soukup; Sottak; Sorg; Sorabella;
      Sommariva; Somers; Solon; Socolow; Snodgrass; Sniffen; Smilow; Slowe;
      Sloan; Skoda; Skerry; Skane; Sites; Sirilli; Sinsabaugh; Silvetti;
      Silverman; Signa; Sigini; Sigalot; Siesto; Shimon; Shibata; Shia;
      Shesko; Shepstone; Sheppard; Shepherd; Sheats; Shea; Shavelson;
      Shatrov; Shar; Shanley; Shankland; Shakis; Shaikh; Seyfert; Sexton;
      Seterdahl; Sennett; Sen; Selvage; Sekler; Segal; Seeber; Seaton;
      Scudder; Scovel; Schwickrath; Schwan; Schuyler; Schutte; Schuman;
      Schossberger; Schmitt; Schilling; Schifini; Schiano; Scheiner;
      Scharlemann; Scharf; Scepan; Scarponi; Sayied; Sawtell; Satterthwaite;
      Satta; Satin; Sase; Sartore; Sarin; Sapers; Sanna; Sanchez-Ramirez;
      Samson; Sali; Sahu; Safire; Sadler; Sabatello; Ryu; Rush; Ruescher;
      Ruderman; Ruan; Ru; Royal; Row; Ronen; Rogers; Roesler; Rocha;
      Robinson; Rivera; Rish; Rineer; Rindos; Rielly; Richmond; Rhea;
      Resnik; Repetto; Renick; Remak; Reinold; Cunningham; Reedquist;
      Redden-Tyler; Rayport; Rapple; Rankin; Rangan; Raney; Rajagopalan;
      Radeke; Rabkin; Rabe; Quetin; Quaday; Pynchon; Pugh; Puccia;
      Prothrow-Stith; Proietti; Pritz; Pritchard; Prevost; Preucel; Presper;
      Powers; Poolman; Poma; Politis; Polanyi; Polak; Poirier; Pointer;
      Poincaire; Pocobene; Po; Plous; Plasket; Plant; Plancon; Pinot;
      Pilbeam; Pfister; Pettit; Pettibone; Petruzello; Peters; Perrimon;
      Perone; Perna; Perlman; Perlak; Perko; Pereira; Penny; Peishel;
      Pederson; Pearlberg; Peabody; Paynter; Pawloski; Pavlon; Pavetti;
      Pattullo; Patrick; Patefield; Pascucci; Partridge; Parris;
      Parmeggiani; Paoletti; Pantilla; Panizzon; Panadero; Palmitesta;
      Pallara; Palepu; Palayoor; Paine; PaesDealmeida; Ovid; Ouchida; Otten;
      Ottaviani; Ostrowski; Ospina; Orsi; Orfield; Oray; Opel; O'meara;
      Oman; O'malley; Olszewski; Olson; Olsen; Oldford; O'hagan; Oh; Ogata;
      Ocougne; Nuzum; Notman; Nitabach; Nisenson; Nickoloff; Nickerson; Ni;
      Ng; Newlin; Newfeld; Neuman; Nesci; Nenna; Nelson; Nayduch; Naviaux;
      Nardone; Nardi; Napolitano; Naddeo; Mussachio; Mumford; Mulroy;
      Mulkern; Mugnai; Muello; Mudarri; Motooka; Mostafavi; Mosler; Mosher;
      Mortimer; Morrow; Morrison; Moreton; Morani; MooreDeCh.; Montilio;
      Monque; Moiamedi; Mohr; Moeller; Modestino; Mocroft; Mittal;
      Mitropoulos; Gonzalez; Minichiello; Mini; Minh; Mills; Mieher; Middle;
      Michelman; Meurer; Metropolis; Metelka; Merz; Merseth; Merminod;
      Merlani; Merikoski; Menzies; Memisoglu; Meccariello; Mcnulty; Mcnealy;
      Mclaren; Mclane; Mckenna; Mcintosh; McIlroy; Mcgoldrick; Mcghee;
      McFadden; Mcelroy; Mcdowell; Mcclearn; Mccall; Mccaffery; Mcbride;
      Mazziotta; Mazzali; May; Mauzy; Mattson; Matsukata; Matarazzo;
      Matalka; Mass; Marubini; Marton; Martochio; Martinez; Marques;
      Margetts; Margalit; Marcus; Marchbanks; March; Mantovan; Manganiello;
      Mandel; Manalis; Malova; Maller; Malatesta; Maisano; Maine-Hershey;
      Maier; Mahony; Maggio; Madigan; Macy; MacMillan; Mackenney; Macintyre;
      Maceachern; Macdonald; Maccormac; Ma; Luzader; Lutcavage; Lussier;
      Luoma; Lunetta; Luecke; Luczkow; Luciano; Lucas; Lubin; Loza;
      Lowenstein; Loveman; Loss; Longworth; Locatelli; Lizardo; Livolsi;
      Livi; Livernash; Litvak; Little; Lipponen; Lippmann; Linzee; Linehan;
      Line; Linder; Linda; Linares; Lim; Lightfoot; Light; Liem; Lidano;
      Liakos; Lessi; Lesser; l'Enclos; Lenard; Leite; Leclercq; Lecce;
      Lecar; Lawless; Lashley; Laserna; Lanzit; Lantieri; Lankes; Landes;
      Lallemant; Laing; Lafler; Labunka; La; Kuwabara; Kusman; Kumar;
      Kuenzli; Krysiak; Kroemer; Kraus; Krasney; Krailo; Kraemer; Kovaks;
      Kotter; Korzybski; Kool; Konrad; Koniaris; Kommer; Koivumaki; Kohn;
      Koch; Kobrick; Knuff; Klint; Klinkenborg; Kling; Klemperer;
      Kleinfelder; Kleiman; Kleckner; Kittridge; Kirscht; Kippenberger;
      Kinsley; Kindall; Kimura; Kimmett; Kimmel; Khong; Keul; Kerry;
      Kendall; Kemsley; Kempton; Kelsey; Kelker; Keith; Keepper; Keenan;
      Kee; Kawachi; Kasten; Kassower; Karpouzes; Kangis; Kamel; Kalman;
      Kalinowski; Kalil; Kaligian; Kalbfleisch; Kafadar; Kaboolian; Kabbash;
      Julious; Juliano; Jucks; Jorgensen; Jolly; Johns; Johannsen;
      Johannesson; Jewett; Jespersen; Jenkins; Jellis; Jeffers; Jay;
      Jarrell; Jarnagin; Janjigian; Jamil; Jain; Jagoe; Jagger; Jagers;
      Jackson; Jacenko; Iyer; Isserman; Isbill; Isaievych; Isaac; Inniss;
      Inamura; Igarashi; Ichikawa; Iaquinta; Hyde; Hutchings; Hurtubise;
      Hupp; Huntington; Hungerford; Huidekoper; Huey; Hoy; Howard; Hottle;
      Hostage; Hoshida; Horsley; Hopkins; Hooker; Holzman; Holway; Holter;
      Holoien; Holmes; Hokoda; Hokanson; Hoffman; Hoffer; Hock; Hoang;
      Hitchcock; Hirst; Hind; Himmelfarb; Heyeck; Heubert; Hester; Herrera;
      Hernandez; Henrichs; Henery; Hemphill; Helprin; Hellmiss; Hellman;
      Heiland; Heft; Heermans; Hazlewood; Haynes; Hayes; Hawkes; Haviaras;
      Harwell; Hartnett; Hartmann; Hartman; Harrigan; Harlow; Hargraves;
      Harding; Hanssen; Hand; Hammerness; Hamer; Hambarzumjan; Halpert;
      Hallowell; Halkias; Haley; Hackshaw; Hackman; Haar; Ha; Guo; Gunn;
      Guenthart; Gruppe; Gruner; Grummell; Grigoletto; Griffiths; Greenfeld;
      Greenberg; Gravell; Gozzi; Goody; Goodearl; Good; Goncalves; Goldfarb;
      Glendon; Glegg; Gleason; Gist; Gillispie; Gill; Gili; Gilbert; Gibson;
      Gibbens; Ghorai; Gerrett; Georgi; Gemberling; Geller; Garonna; Garman;
      Garfield; Gambini; Galwey; Galeotti; Gaggiotti; Gabrielli; Fusaro;
      Furth; Fuller; Fujii-Abe; Frye; Fryberger; Frowiss; Frisken;
      Friedland; Fried; Freundlich; Freid; Frazier-Davis; Franz;
      Franklin-Kenea; Francisco; Fossi; Fossey; Fortier; Fortes; Forester;
      Folks; Flores; Flier; Fitzmaurice; Fisk; Fiorina; Finnegan;
      Finkelstein; Fink; Field; Fido; Feuer; Ferriell; Ferrante; Fernandes;
      Fernald; Feldman; Fejzo; Feigenbaum; Fates; Fasso'; Farren; Farone;
      Faris; Falorsi; Falco-Acosta; Faioes; Fagan; Fabbris; Everett;
      Euripides; Etter; Estes; Espinoza; Erez; Erdos; Erdman; Erbach;
      Eppling; Enyeart; Encinas; Elvis; Elmerick; Elmendorf; Eliasson;
      Eickenhorst; Edward; Edner; Edley; Eckel; Ebeling; Eardley; Dwyer;
      Dussault; Durrett; Duffin; D'souza; Drinker; Dowsland; Doug; Doty;
      Dosi; Dorf; Dore; Doonan; Donner; Donahue; Doherty; Dockery; Dirksen;
      Dionysius; Dilworth; Difronzo; Difabio; Diefenbach; Dicks; D'fini;
      Deutsch; Desombre; Denison; Denham; Denault; Demusz; Dempster; Deming;
      Dell'acqua; Delger; Deleon-Rendon; Delattre; Defeciani; Dees; Debroff;
      deRousse; del'Enclos; DeLaPena; DeGennaro; Dawkins; David; Daskalu;
      Dasgupta; Das; D'arcangelo; Dapice; Dante; Danieli; D'Ambra; Daly;
      Daldalian; daSilva; Cyders; Cvek; Cutler; Currier; Cui; Croxton;
      Croxen; Croshaw; Crocker; Crawford; Coutaux; Counter; Cosmides;
      Cornish; Corey; Connors; Condodina; Concino; Comstock; Compton;
      Collis; Collard; Colella; Coldren; Coito; Coblenz; Clow; Clifton;
      Clement; Clark; Clancy; Claffey; Cifarelli; Cicero; Ciampaglia;
      Church; Chupasko; Chu; Christopher; Christie; Christiano; Christian;
      Christenson; Chinman; Chinipardaz; Childs; Childress; Chien;
      Chiassino; Chervinsky; Cherry; Cheang; Charles; Chapman; Cerioli;
      Ceniceros; Cavell; Cavanagh; Castelda; Caspar; Case; Cascio; Cartmill;
      Carper; Caroti; Carmichael; Carlyle; Carlos; Carlin; Carayannopoulos;
      Caratozzolo; Capursi; Cappuccio; Capodilupo; Capocaccia; Caperton;
      Capanni; Canley; Cammilleri; Cammelli; Calnan; Cage; Byrd; Byerly;
      Byatt; Busetta; Burridge; Burke; Burdzy; Burden; Bunton; Bullard;
      Budding; Buchan; Brzycki; Brook; Broca; Britz; Brinton; Bridges;
      Bridgeman; Brewer; Brennan; Brenan; Breed; Brecht; Bradach; Bradac;
      Bracalente; Boyne; Boym; Boyland; Boyes; Boyajian; Boxer; Bowers;
      Bourneuf; Boudrot; Boudin; Botosh; Bothman; Bossi; Borden; Borack;
      Boorstin; Boone; Bookbinder; Book; Bontempo; Boniface; Bonham; Boner;
      Bologna; Bollinger; Bolick; Bolger; Blyth; Bloxham; Bloemhof;
      Bloembergen; Bloch; Blizard; Bliss; Blanke; Blakemore; Blagg;
      Blackwell; Blackbourn; Bisho; Bisema; Bir; Binion; Bickel; Biagioli;
      Beynart; Betti; Berrizbeitia; Bernston; Bernassola; Bernardo;
      Berke-Jenkins; Bergson; Benedict-Dye; Belloc; Bellini; Bellhouse;
      Bellavance; Belin-Collart; Belfer; Belaoussof; Belanger; Behenna;
      Bedford; Beder; Beckman; Bean; Beal; Beacon; Bayo; Bayles; Baumiller;
      Batchelder; Bashevis; Basavappa; Bartoo; Bartolome; Bartholomew;
      Barry; Barriola; Barnett; Barneson; Barbetti; Barberi; Baranowska;
      Baranczak; Barajas; Barabesi; Banta; Baltz; Ballew; Ballatori; Baleja;
      Bakanowsky; Bailar; Bagnold; Baglivo; Bady; Backus; Bachmuth; Azima;
      Ayling; Aykroyd; Ayiemba; Axworthy; Axelrod; Aurelius; Augustus;
      Atkins; Arky; Arjas; Aristotle; Arellano; Arduini; Arbia; Antos;
      Anthony; Ansley; Anfinrud; Andron; Andrelus; Ando; Andel; Anand;
      Amsden; Ameer; Amatangelo; Amaral; Altenhofen; Altenberger; Altavilla;
      Alongi; Allison; Aleks; Alda; Alcorn; Alavi; Ahlers; Adorno; Adibe;
      Adelstein; Addison; Adams; Ackerman; Abdulrazak

– A seguinte lista de palavras-chave:
   • intranet; lan; main; winpass; blank; office; control; xp; nokia; hp;
      siemens; compaq; dell; cisco; ibm; orainstall; sqlpassoainstall; sql;
      sa; db1234; db1; databasepassword; data; databasepass; dbpassword;
      dbpass; access; domainpassword; domainpass; domain; hello; hell; god;
      sex; slut; bitch; fuck; exchange; backup; technical; loginpass; mary;
      katie; kate; george; eric; chris; ian; neil; lee; brian; susan; sue;
      sam; luke; peter; john; mike; bill; fred; joe; jen; bob; qwe; zxc;
      asd; qaz; win2000; winnt; winxp; win2k; win98; windows; oeminstall;
      oemuser; oem; homeuser; home; accounting; accounts; internet; www;
      web; outlook; mail; qwerty; null; changeme; linux; unix; demo; none;
      test; 2004; 2003; 2002; 2001; 2000; 1234567890; 123456789; 12345678;
      1234567; 123456; 12345; 1234; 123; 12; 007; pwd; pass; pass1234;
      passwd; password1; adm; db2; oracle; dba; database; default; guest;
      wwwadmin; teacher; student; owner; computer; root; staff; admin;
      admins; administrat; administrateur; administrador; administrator



Exploit:
Faz uso dos seguintes Exploits:
– MS01-059 (Unchecked Buffer in Universal Plug and Play )
– MS04-011 (LSASS Vulnerability)


Execução remota:
–Tenta programar uma execução remota do malware, na máquina recentemente infectada. Então usa a função de NetScheduleJobAdd.

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: mail.purpl**********.com
Porta: 80
Canal #test%número%
Nickname: USA|%número%



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Captura do ecrã
    • Imagens capturas a partir de webcam
    • Espaço disponível no disco
    • Memória disponível
    • Informação sobre processos em execução


– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Lança DDoS ICMP floods
    • Lança DDoS SYN floods
    • Lança DDoS TCP floods
    • Lança DDoS UDP floods
    • Download de ficheiros
    • Executa o ficheiro
    • Termina processos
    • Abre ligações remotas
    • Executa pesquisas na rede
    • Reinicia
    • Envia emails
    • Desliga o sistema
    • Inicia o keylog
    • Actualiza-se a ele próprio

 Backdoor São abertas as seguintes portas:

%SYSDIR%\svehost.exe numa porta TCP 80 Por forma a fornecer um servidor HTTP.
%SYSDIR%\svehost.exe numa porta TCP 21 para fornecer um servidor de TFTP.

Envia informação sobre:
    • Nome do computador
    • Velocidade do CPU
    • Tipo de CPU
    • Utilizador Actual
    • Tipo de ligação à Internet
    • Endereço IP
    • Endereço MAC
    • Tempo de vida do malware
    • Directório de sistema
    • Hora de Sistema
    • Nome de utilizador
    • Directório do Windows
    • Informação sobre o sistema operativo Windows


Capacidades de controlo remoto:
    • Desactiva o DCOM
    • Desactiva partilhas de rede
    • Activa o DCOM
    • Activa partilhas de rede

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em terça-feira, 24 de novembro de 2009
Descrição atualizada por Petre Galan em terça-feira, 24 de novembro de 2009

Voltar . . . .