Nume:Worm/Autorun.fbn
Descoperit pe data de:25/02/2009
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:527.360 Bytes
MD5:9b42af287af3d549775c479f3230b718
Versiune IVDF:7.01.02.76 - quarta-feira, 25 de fevereiro de 2009

 General Metode de raspandire:
   • Functia autorun
   • Reteaua locala
   • Messenger


Alias:
   •  Mcafee: W32/Spybot.worm.gen
   •  Sophos: W32/Autorun-ZK
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/Boberog.J
   •  Bitdefender: Trojan.Generic.1627253


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\wmisys.exe
   • %unitate disc%\RECYCLER\%CLSID%\openfiles.exe



Sunt create fisierele:

%unitate disc%\RECYCLER\%CLSID%\Desktop.ini
%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\WMISYS]
   • "Description"="Spools WMI applications."
   • "DisplayName"="WMI System App"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,65,00,6D,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\wmisys.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Urmatoarele chei din registri sunt modificate:

– [HKLM\SYSTEM\CurrentControlSet\Control]
   Noua valoare:
   • "WaitToKillServiceTimeout"="7000"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   Noua valoare:
   • "GON"="%fisier executat%"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– AIM Messenger
– MSN Messenger

URL-ul trimte la o copie a malware-ului descris. Daca utilizatorul descarca si executa acest fisier, procesul de infectare porneste din nou.

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnerability in Server Service)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand primul octet din propria adresa. Apoi incearca sa contacteze adresele create.


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: mov.skoreabeefimports.info
Port: 8083
Canal: #sploit-s
Nick: [00|USA|XP|%numar%]

 Backdoor Deschide portul
pe portul TCP 31433 pentru a functiona ca server HTTP.

 Alte informatii Metode anti-debugging
Verfica daca exista unul din urmatoarele fisiere:
   • \\.\SICE
   • \\.\NTICE


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Petre Galan em quinta-feira, 4 de março de 2010
Descrição atualizada por Petre Galan em quinta-feira, 4 de março de 2010

Voltar . . . .