Worm/Rbot.XN - Worm

In alte limbi

Scurta descriere

Descriere completa

Statistici

Nume:	Worm/Rbot.XN
Descoperit pe data de:	08/08/2005
Tip:	Vierme
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Mediu
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	499.712 Bytes
MD5:	336e4ef735bf545151b5cdd11ddd1d1d
Versiune VDF:	6.31.01.68

General Metode de raspandire:
   • Reteaua locala
   • Discuri de retea mapate

Alias:
   • Kaspersky: Backdoor.Win32.Rbot.xn
   • TrendMicro: WORM_RBOT.BXP
   • Sophos: W32/Rbot-AOK
   • Grisoft: IRC/BackDoor.SdBot.HFN
   • VirusBuster: virus Worm.RBot.CFJ
   • Bitdefender: Backdoor.Rbot.XN

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

Fisiere Se copiaza in urmatoarea locatie:
• %SYSDIR%\%sir de 3 caractere aleatoare%.exe

Sterge copia initiala a virusului.

Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows ASN Service"="%fisier executat%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows ASN Service"="%fisier executat%"

Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Licenses]
   • "{R7C0DB872A3F777C0}"=%valori hex%
   • "{K7C0DB872A3F777C0}"=%valori hex%
   • "{I5D8DDAB8BD72C6E7}"=%valori hex%
   • "{05D8DDAB8BD72C6E7}"=%valori hex%

– [HKLM\SOFTWARE\Microsoft\RFC1156Agent\CurrentVersion\Parameters]
   • "TrapPollTimeMilliSecs"=dword:00003a98

– [HKCR\CLSID\{22A6FF82-B3E0-94BB-5FCD-EA067B86810F}]

Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Vechea valoare:
   • "EnableDCOM"=%setarile utilizatorului%
   Noua valoare:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Vechea valoare:
   • "restrictanonymous"=%setarile utilizatorului%
   • "restrictanonymoussam"=%setarile utilizatorului%
   Noua valoare:
   • "restrictanonymous"=dword:00000001
   • "restrictanonymoussam"=dword:00000001

Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • IPC$
   • ADMIN$
   • C$
   • C:\
   • D$
   • D:\

Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

– Lista de utilizatori si parole:
   • 12; 123; 1234; 2000; 2001; 2002; 2003; 2004; 12345; 123456; 1234567;
      12345678; 123456789; 1234567890; access; accounting; accounts; adm;
      admin; administrador; administrat; administrateur; administrator;
      admins; asd; backup; bill; bitch; blank; bob; brian; changeme; chris;
      cisco; compaq; computer; control; data; database; databasepass;
      databasepassword; db1; db1234; db2; dba; dbpass; dbpassword; default;
      dell; demo; domain; domainpass; domainpassword; eric; exchange; fred;
      fuck; george; god; guest; hell; hello; home; homeuser; hp; ian; ibm;
      internet; intranet; jen; joe; john; kate; katie; lan; lee; linux;
      login; loginpass; luke; mail; main; mary; mike; neil; nokia; none;
      null; oem; oeminstall; oemuser; office; oracle; orainstall; outlook;
      owner; pass; pass1234; passwd; password; password1; peter; pwd; qaz;
      qwe; qwerty; root; sa; sam; server; sex; siemens; slut; sql;
      sqlpassoainstall; staff; student; sue; susan; system; teacher;
      technical; test; unix; user; web; win2000; win2k; win98; windows;
      winnt; winpass; winxp; www; wwwadmin; xp; zxc

Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)

IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: 94.amdweb**********.com
Port: 6667
Parola serverului: R4DRR4KZ6ZD3
Canal: #asn
Nick: sMB-%sir de 6 caractere aleatoare%
Parola: NdIVyk5D

– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
    • Informatii despre drivere
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • Informatii despre procesele sistemului
    • Cantitatea de memorie
    • Utilizator
    • Activitatea utilizatorilor locali
    • Informatii despre sistemul de operare

– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • Lanseaza atacuri DDoS ICMP
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS UDP
    • dezactivare DCOM
    • dezactivarea partajarii de resurse in retea
    • deconectare server IRC
    • descarcare fisier
    • activare DCOM
    • activarea partajarii de resurse in retea
    • executarea unui fisier
    • intrare pe canal IRC
    • terminare proces
    • parasire canal IRC
    • deschidere consola
    • executare atac DDoS
    • Scaneaza reteaua
    • Inregistreaza un serviciu
    • repornirea sistemului
    • trimitere email-uri
    • oprierea sistemului
    • terminare proces malware
    • terminare proces
    • Se actualizeaza singur
    • Face upload la un fisier

Alte informatii Mutex:
Creeaza urmatorii mutecsi:
• rzasn
• RALAAD91808

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
• Armadillo

Pentru o descriere scurta click aici.

Descriere introdusa de Daniel Constantin la Tue, 04 Apr 2006 12:14 (GMT+1)
Descriere actualizata de Daniel Constantin la Tue, 04 Apr 2006 14:41 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back