Worm/RBot.328262 - Worm

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	Worm/RBot.328262
Data em que surgiu:	08/07/2005
Tipo:	Worm
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Médio
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	558.080 Bytes
MD5 checksum:	a36bf2770D4763d8f53ae224d9bcfb57
Versão VDF:	6.31.0.172

Vulgarmente Meios de transmissão:
   • Rede local

Alias:
   • Sophos: W32/Tilebot-HD

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP

Efeitos secundários:
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
• %WINDIR%\lsass.exe

Altera o conteúdo dos ficheiros seguintes.
– %SYSDIR%\ftp.exe
– %SYSDIR%\tftp.exe

Apaga a cópia executada inicialmente.

Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\lsass.exe"
   • "DisplayName"="Spool SubSystem App"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%hex value%
   • "Description"="Spool SubSystem App"

São adicionadas as seguintes chaves ao registo:

– HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App\Security
   • "Security"=%hex value%

– HKLM\SYSTEM\CurrentControlSet\Services\Spool SubSystem App\Enum
   • "0"="Root\\LEGACY_SPOOL_SUBSYSTEM_APP\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP\
   0000
   • "Service"="Spool SubSystem App"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Spool SubSystem App"

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPOOL_SUBSYSTEM_APP\
   0000\Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Spool SubSystem App"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "windns"=%directório de execução do malware%\%ficheiro executado%

Infecção da rede Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • c$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32
   • ADMIN$

Exploit:
Faz uso dos seguintes Exploits:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

Processo de infecção:
Cria um script FTP na máquina infectada para permitir o download do malware da máquina atacante.

Execução remota:
–Tenta programar uma execução remota do malware, na máquina recentemente infectada. Então usa a função de NetScheduleJobAdd.

IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: mail2.tik**********
Porta: 9632;7412
Canal #z#
Nickname: [P00|USA|%oito caracteres aleatórios%]
Palavra-chave m00

– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Velocidade do CPU
    • Utilizador Actual
    • Espaço disponível no disco
    • Memória disponível
    • Tempo de vida do malware
    • Informações sobre a rede
    • Informação sobre processos em execução
    • Capacidade da memória
    • Informação sobre o sistema operativo Windows

– Para além disso tem a capacidade de executar as seguintes acções:
    • Lança DDoS ICMP floods
    • Lança DDoS SYN floods
    • Lança DDoS UDP floods
    • Desactiva partilhas de rede
    • Download de ficheiros
    • Editar o registo do Windows
    • Activa partilhas de rede
    • Executa o ficheiro
    • Termina processos
    • Abre ligações remotas
    • Ataque de Negação de Serviços (ataque DoS)
    • Executa pesquisas na rede
    • Redireccionamento de porta
    • Termina o malware
    • Actualiza-se a ele próprio

Backdoor Contacta o servidor:
Seguinte:
• htp://www.littleworld.pe.kr/**********

Isto é feito usando o método HTTP GET através de scripts PHP.

Introdução de código viral noutros processos – Introduz o seguinte ficheiro num processo: %SYSDIR%\sfc_os.dll

    Todos os processos que se seguem:
   • %SYSDIR%\winlogon.exe
   • %SYSDIR%\svchost.exe
   • %SYSDIR%\spoolsv.exe

Informações diversas Mutex:
Cria o seguinte Mutex:
• w7p5h9e5k7x5

Anti debugging
Confirma se o seguinte ficheiro existe:
• \\.\NTICE

Reparar o ficheiro:
Para aumentar o número máximo de ligações tem a capacidade de modificar o ficheiro tcpip.sys. Pode resultar na corrupção desse ficheiro e na ruptura da conectividade da rede.
Para desactivar o Windows File Protection (WPF) tem capacidade para modificar o ficheiro sfc_os.dll no posição 000E2B8. O WPF serve para evitar alguns dos actuais problemas de inconsistência dos DLL.

Detalhes do ficheiro Linguagem de programação:
Ficheiro escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Veja aqui uma breve descrição.

Descrição adicionada por Bogdan Iliuta em Fri, 13 Oct 2006 17:01 (GMT+1)
Descrição adicionada por Andrei Gherman em Tue, 21 Nov 2006 09:06 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back