Крымский форум (Crimea-Board) -> Backdoor.Win32.IRCBot

Backdoor.Win32.IRCBot_Gen, тваю мать !

Подписка на тему | Сообщить другу | Версия для печати | Добавить в закладки

Rumata | Профиль

Дата 6 Декабря, 2004, 22:49

The One

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 100
Вне форума

вот после чего эта тварь завелась скажу приватно тому кто мне ее впер. собственно, проявился запрос от файервола по поводу tftp.exe пущать/не пущать. думаю "интересно что далее" далее мне по этому протоколу передают файлик winole.exe и это файло в свою очередь тоже начинает куда то ломиться, естествеено файл получил запрет.

далее, svhost.exe начал жрать порядка 80% ресурсов, файл windows/system32/winole.exe удалить не получаеться, занят процессом. черт с ним, загружаюсь под safe_mode выношу эту гнусь, правлю группу автозагрузки (естественно он уже и туда прописался). перезагружаю винды, честно купленные винды молвят, с момента активации конфигурация была значительно изменена, пошли регистрироваться ... вообщем поимел легкую головную боль, поскольку деяние сего виреза описано оч скудно. а именно.

Цитата

Also Known As

Type
Backdoor
Systems Affected
Win32
Resident in System Memory
No
Origin
others
Encryption
No
Discovered on
09/23/2004
How it spread
Network
Infection symptoms
DoS attack, Changes registry, Accessing certain IRC server, Opens the specific port
Specific date of infections
None
Destructivity/ Distribution Potential
*** / ***
ViRobot version able to
detect/repair
Able to detect/repair
[ViRobot version: 09/23/2004]

Technical description
[Summary]

Backdoor.Win32.IRBot_Gen is the name that detects unknown Bot system applied from ViRobot engine update (Sep. 23,

2004).Backdoor.Win32.IRCBot_Gen is the name that contains the following Bot series.

- Backdoor.Win32.IRCBot
- Worm.Win32.Agobot
- Backdoor.Win32.RBot
- Backdoor.Win32.MyBot
- Backdoor.Win32.SdBot
- Worm.Win32.SpyBot

ViRobot detects/repairs unknown Bot series but there are some cases that it doesn't detect if the variants change a lot.
ViRobot engine is constantly updated so you should maintain the latest version.

[Infection method]

The spreading method is changed and added under the variants besides the typical spreading method arranged as below.

1. It takes an advantage of the following Windows Security Vulnerability.

- RPC DCOM Vulnerability(MS03-026, TCP/135) : Vulnerability information(Korean) | Vulnerability information(English)

- RPC DCOM2 Vulnerability(MS03-039, TCP/135) : Vulnerability information(Korean) | Vulnerability information(English)

- RPC Locator Vulnerability(MS03-001, TCP/445) : Vulnerability information(Korean) | Vulnerability information(English)

- WebDAV Vulnerability(MS03-007, TCP/80, IIS are only relevant to a user)
: Vulnerability information(Korean) | Vulnerability information(English)

* Notes : Only IIS user who uses WebDAV is relevant, but above Windows 2000 is automatically enabled. Therefore MS03-007 patch or above

Service pack 4 should be applied if you use Windows 2000 or above even though you don't use IIS. (Apply MS03-013 due to the problem in MS03-

007 security patch.)

- NetBIOS Vulnerability(MS03-034, TCP/137,138,139) : Vulnerability information(Korean) | Vulnerability information(English)

2. It takes an advantage of IPC$(Manager) Password Vulnerability(Infection caused by the password that is easy to inferred).

The reason why the malignant code can use IPC$ share is because System Manager Password isn't set or simply set. Therefore the password

should be set long enough to protect against illegal access.

[Infection path]

The typical symptoms of Bot which is known currently are as the following.

1. Random TCP port is opened. After Bot connects to the specified IRC channel without a user's permission, it becomes the agent that receives

commands from a hacker to execute the following functions.

- Close process
- Execute HTTP, ICMP, SYN, UDP flood
- Upload/download and execute file from the specified url or server
- Update installed backdoor
- Send backdoor file to another IRC channel
- Delete installed backdoor(include registry modification)
- Expose system information of infected PC, Windows product CDKey, AOL password and famous game CDKey
- Steal email address saved in computer

2. After it connects to IRC server, it attempts to DoS(Denial of Service) attack specified URL by a hacker's commands.

3. The following network share is removed by a hacker's command.

- admin$
- ipc$
- d$
- c$

4. Worm modifies "(Windows system folder)\drivers\etc\hosts" of infected computer to make user hard to connect to the websites related to

anti-virus. Worm set the following path with 127.0.0.1 to be black-hole routing.
(hosts file modified by worm is detected/repaired as "HOSTS.Noconnt.A" in ViRobot.)

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com

5. Information such as Windows product CDKey and game CDKey are exposed in the infected system by a hacker's command.

- Windows Product ID
- Hidden & Dangerous 2
- Chrome
- SOF2
- Soldier of Fortune II - Double Helix
- Neverwinter
- Nox
- Tiberian Sun
- Red Alert 2
- Red Alert
- IGI 2 Retail
- Command & Conquer Generals
- Battlefield 1942 Secret Weapons of WWII
- Battlefield 1942 The Road to Rome
- Battlefield 1942
- Nascar 2002
- NHL 2003
- NHL 2002
- FIFA 2003
- FIFA 2002
- NFSHP2
- The Gladiators
- UT2003
- LoMaM
- Counter-Strike
- Half-Life
- Retrieves email addresses from the files that have http, Wab extentions

6. Worm terminates several processes that have a vaccine and a firewall.

[Others]

- The function that detects unknown Bot doesn't support in real-time monitor.

Version 1 : AM 10:16 2004-10-05 (GMT+9)
The first version of analysis report is completed.
How to repair
[How to repair]

* The following phenomenon can generate so please be well aware of the contents as shown below.

1. When rebboting after repairing Backdoor.Win32.IRCBot_Gen and when message box that says it doesn't have relevant file.

Action : Check the following line of registry and delete the registry value recorded relevant file.

- HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Run

Name : (Search for the key value that has the same contents with the message box appears that it doesn't have a file when rebooting.)

- HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
RunServices

Name : (Search for the key value that has the same contents with the message box appears that it doesn't have a file when rebooting.)

2. When reinfection after repairing Backdoor.Win32.IRCBot_Gen

- Repairing has been already done but reinfection occurs because Vulnerability still exists. Important security vulnerability of Windows

should be installed to prevent against reinfection.

How to patch : Install all inportant updates via Start->Windows update.

3. If there is other questions, apply virus sample to Hauri virus report center to get detailed analysis.

____________________

Ничто так не сближает людей, как снайперский прицел

6/59690

Бобер \| Бездомный	Реклама двигатель прогресса
А кому сча лехко?	_________________ Желающим разместить рекламу смотреть сюдой
	/

VladB \|	Дата 7 Декабря, 2004, 10:44
Unregistered	Backdoor.IRCBot.gen (Kaspersky Lab) is also known as: W32/Lolol.worm.gen (McAfee), Backdoor.IRC.Cirebot (Symantec), Win32.IRC.Bot.based (Doctor Web), Troj/IRCBot-G (Sophos), Backdoor:IRC/SdBot (RAV), BDS/IRCBot.Gen.3 (H+BEDV), Win32:IRCbot (ALWIL), Worm/Lolol (Grisoft), Backdoor.Autoroot.A (SOFTWIN), Trojan.Mybot-312 (ClamAV), W32/Gaobot.WJ.worm (Panda), Win32/Aebot.H (Eset) Behavior Backdoor Currently there is no description available for this malicious program. As many viruses and worms are modifications of earlier versions, it may help you to check the descriptions of similar malicious software. If such descriptions are available, they will be listed at the top of the page.
	6/

FreeLSD \|	Дата 7 Декабря, 2004, 11:40
Unregistered	Видел такую хрень. Дважды. Вынес не разбираясь, как только эта winole наружу запросилась ))) Проблем потом вроде не было. Винда, правда, ломаная

Rumata \| Профиль	Дата 7 Декабря, 2004, 12:18
The One Группа: Admin Сообщений: немеряно Регистрация: 21.06.03 Авторитет: 100 Вне форума	ну а у меня вот вроде поутру нормально активировалась повторно. ____________________ Ничто так не сближает людей, как снайперский прицел

annamb \|	Дата 30 Декабря, 2004, 11:44
Unregistered	скажите, а просто Каспером или drWeb-ом эту ****ю удалить можно? а то я полный ноль в этих всех системных делах. Кстати, у меня это само приползло, f-prot ее не заметил, скотина. А когда заметил, то отказался удалять, только доступ закрыл. щас поставила zonealarm, но не знаю чем она в данный помочь может.
	6/

Rumata \| Профиль	Дата 30 Декабря, 2004, 12:35
The One Группа: Admin Сообщений: немеряно Регистрация: 21.06.03 Авторитет: 100 Вне форума	annamb загрузитесь под Save Mode (кнопка F8 при загрузке) удалите файл winole.exe из папки кажеться system32, откройте группу автозагрузки Пуск _ Выполнить _ msconfig закладка Автозагрузка уберите оттуда строку которая соответсвует автозапуску этой дряни. усё. ____________________ Ничто так не сближает людей, как снайперский прицел

annamb \|	Дата 30 Декабря, 2004, 12:53
Unregistered	что, всё так просто? thanx. попробую.

VladB \|	Дата 30 Декабря, 2004, 14:53
Unregistered	А потом возьми Каспера с расширенными базами и проверь

Bob \|	Дата 17 Февраля, 2005, 23:20
Unregistered	А мне вчера машинку принесли сказка пень 400х128 ХП с двумя ланнч. паками с кучей вирей погонял антивирь убил 60шт запустил антиспай от мелкомягких находит три виря но удалить неможет. Ладно лезу через дос убиваю загруз все вири на месте ладно ставлю каспера ох и гемор если до этого комп ползал то теперь встал каспер шуршит и больше ничего даже не шевелится оставил на ночь. Утром нашел 150 вирей почти всех убил, но этот vtd_16.exe сидит на месте в сейв моде выкидывает окно с ошибкой если окно убрать видишь чорный экран, а вот если его здвинуть работать можно каспер с последним обновлением этот вирь не видит в упор ладно нахожу инфу Вирус первой категории Обнаружен: 21 октября 2004 года Последнее обновление: 22 октября 2004 Уязвимые системы: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP Признаки: 1.cоздает следующие файлы: %System%vdt_16.exe %System%i.a3d %System%draw32.dll %System%vm.dll %System%vdnt32.sys %System%hm.sys %System%memlow.sys %System%wd.sys %System%p2.ini %Windir%dt163.dt 2.запускает %System%vdt_16.exe как скрытый процесс. 3.добавляет в реестр ключи: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesvdnt32 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetENUMROOTLEGACY_VDNT32 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmemlow HKEY_LOCAL_MACHINESYSTEMCurrentControlSetENUMROOTLEGACY_MEMLOW 4.добавляет значение "Disable TrayIcon" = 1 в ветку реестра: HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters 5.добавляет значения "Impersonate" = "[1236477522472955044]" "StackSize" = "21:10" в ветку реестра: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl 6.модифицирует значение "EnforceWriteProtect" = "0" в HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management 7.добавляет значение "hws" = "0x428" в HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersion 8.модифицирует значения HKEY_LOCAL_MACHINESystemCurrentControlSetControlMPRServicesTestService HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifydraw32 9.пытается удалить значения HKEY_LOCAL_MACHINESoftwareMicrosoftCurrentVersionRun"secboot" HKEY_LOCAL_MACHINESystemCurrentControlSetServices SharedAccess"start" 10.открывает TCP порты 16661, 55168,18916 и ждет команд. 11.пытается скопировать файл паролей SAM как файл с именем SLL. Убиваю выше описаные файлы правлю реестр перезагруз вири на месте Убиваю снова а заодно убираю все из папки _restore перезагруз вири на месте и все это на тачке которая еле двигается. Блин какое счастье это слово format. Неэнаю что они поменяли в этом вире но сейчас он вообще не убиваемый.
	2/

« Предыдущая тема | Software | Следующая тема »

Реклама на форуме