Worm/Aimbot.EQ - Worm

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	Worm/Aimbot.EQ
Data em que surgiu:	13/10/2006
Tipo:	Worm
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	De baixo a médio
Nível de risco:	De médio a elevado
Ficheiro estático:	Sim
Tamanho:	1.184.256 Bytes
MD5 checksum:	5fab5a579a0Af582d3a9b99454727125
Versão VDF:	6.35.01.101
Versão IVDF:	6.35.01.102

Vulgarmente Meios de transmissão:
   • Rede local
   • Messenger

Alias:
   • Kaspersky: Backdoor.Win32.Aimbot.eq
   • TrendMicro: WORM_RBOT.UV
   • Eset: Win32/Rbot
   • Bitdefender: Backdoor.Aimbot.EQ

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega um ficheiro
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Informação de roubos

Ficheiros Autocopia-se para a seguinte localização:
• %WINDIR%\mde.exe

É criado o seguinte ficheiro:

– %SYSDIR%\drivers\oreans32.sys Além disso executa-se depois de gerado.

Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
     "Start"=dword:00000001
     "ErrorControl"=dword:00000001
     "ImagePath"=\??\%SYSDIR%\drivers\oreans32.sys
     "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

São adicionadas as seguintes chaves ao registo:

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000]
   • "Service"="oreans32"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="oreans32"

Messenger Propaga-se através do Messenger. Tem as seguintes características:

– AIM Messenger

Infecção da rede Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
• C$
• D$

Exploit:
Faz uso dos seguintes Exploits:
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

Criação de endereços IP:
Cria endereços IP aleatórios enquanto mantém os primeiros dois octetos do seu próprio endereço. Depois tenta estabelecer uma ligação com os endereços criados.

Lentidão:
– O utilizador também pode notar uma pequena baixa na velocidade devido aos múltiplos processos de rede criados.

IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: irc.fucknet.**********
Porta: 6667
Canal #~#
Nickname: [P00|USA|8%quatro caracteres aleatórios%]
Palavra-chave !@#

– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Ligação ao canal IRC
    • Abandona canais IRC
    • Executa pesquisas na rede
    • Envia emails

Roubos de informação Tenta roubar a seguinte informação:
– Windows Product ID

– Usa um sniffer de rede para pesquisar pelo seguinte texto:
• :!x

Informações diversas Mutex:
Cria o seguinte Mutex:
• %cinco caracteres aleatórios%

Anti debugging
Confirma se o seguinte programa está a ser executado:
• SoftIce

Se concluir com êxito, termina imediatamente:

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Veja aqui uma breve descrição.

Descrição adicionada por Monica Ghitun em Mon, 16 Oct 2006 09:32 (GMT+1)
Descrição adicionada por Monica Ghitun em Wed, 01 Nov 2006 08:48 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back