Worm.Win32_Wootbot-AL

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 166912 Octet(s)

Détails techniques:

Lorsqu'il est exécuté, le ver se copie en tant que "poolcll.exe" dans le répertoire %SYSTEM%.

Il créait ensuite un service avec les caractéristiques suivantes :

Nom du Service: evmon
Nom affiché: Event Monitor
Chemin de l'exécutable: "%System%\spoolcll.exe" -netcvs
Type de démarrage: Automatique
Première défaillance: Redémarrer le Service
Deuxième défaillance: Redémarrer le Service
Défaillances suivantes: Redémarrer le Service
Réinitialiser le compteur de défaillance après: 49710 jours
Redémarrer le service après: 0 minutes

Il ouvre ensuite une porte dérobée en se connectant à un salon de discussion IRC nommé "#rampestampen" via les ports TCP 5002 ou 5003 d'un des serveurs IRC suivants:

dummylandingzone.dns2go.com
dummylandingzone.dyndns.org
dummylandingzone.dynu.com
dummylandingzone.hn.org
dummylandingzone.no-ip.info
landingzone.2mydns.com
landingzone.ath.cx
landingzone.dynu.com
landingzone.hn.org
zmoker.dns2go.com

La porte dérobée permet d'exécuter une multitude de fonctions et notamment :

- démarrer un proxy socks4/5
- démarrer un proxy http
- scanner/exploiter des vulnérabilités
- lancer un ping flood
- ouvrir une commande shell
- télécharger/exécuter des fichiers

Elle contient des scanners et exploits suivants :

- ipc (remote shares), port 139
- mssql (Microsoft SQL servers), port 1433
- mysql, port 3306
- DCOM1 (DCOM RPC), ports 135, 445, 1025
- LSASS (MS04-011), port 445
- ftp_scan (remote ftp sites), port 21

Le ver peut également se propager par l'intermédiaire du réseau local en se copiant dans les partages réseaux suivants :

IPC$\msgfix.exe
D$\msgfix.exe
print$\msgfix.exe
c$\msgfix.exe
Admin$\msgfix.exe
c$\windows\system32\msgfix.exe
c$\winnt\system32\msgfix.exe
Admin$\system32\msgfix.exe

Il utilise une liste de mots de passe dans le but d'accéder aux partages réseaux, serveurs MySQL et Microsoft SQL :

admin
root
123
1234
12345
123456
1234567
12345678
123456789
nopass
pass
passwd
password
sql
database
secret
oracle
sybase
test
server
computer
Internet
super
alpha
user
manager
security
debug
telnet
public
monitor
private
default
tivoli
network
real
1234qwer
123qwe
abcd
abc123
123abc
abc
123asd
asdf
asdfgh
135
1357
13579
246
2468
24680
124
125
128
147
258
369
456
789
159
357
12369
14789
32147
74123
78963
2486
7852
9852
842
862
426
486
156
354
756
954
654321
54321
111
1111
11111
111111
1111111
11111111
222
2222
22222
222222
2222222
22222222
333
3333
33333
333333
3333333
33333333
444
4444
44444
444444
4444444
44444444
555
5555
55555
555555
5555555
55555555
666
6666
66666
666666
6666666
66666666
777
7777
77777
777777
7777777
77777777
888
8888
88888
888888
8888888
88888888
999
9999
99999
999999
9999999
99999999
000
0000
00000
000000
0000000
00000000
master
ruler
aaa
111
1111
aaa
aaaaaa
abc
abc123
abcd
abcd1234
abcde
abcdef
abcdefg
access
asdf
asdfg
asdfgh
asdfghjk
asdfjkl
masters
money
new
newpass
nick
one
qwaszx
qwert
qwerty
random
shadow
shit
win95
win98
win2000
win2k
windows
xxx
xxxx
zxcvb
zxcvbnm
hfghfh
abcde
abcdef
crew
aaaa
bbbb
HELLO
zzzz
backdoor
sys
bin
adm
install
user
anon
demo
anonymous
username
pass
password
system
visitor
setup
pub
public
guest
admin
login
www
web
test
temp
nobody
beta
mail
backup
remote
free
test1
test2
private
hello
coffee
qwertyui
iuytrewq
secure
12345678
87654321
asdfghjk
kjhgfdsa
zxcvbnm
mnbvcxz
poiuytre
ertyuiop
lkjhgfds
sdfghjkl
11111111
22222222
33333333
44444444
55555555
66666666
77777777
88888888
99999999
00000000
2001
2010

Il tente également de récupérer les clés CD de jeux vidéo et autres programmes :

Unreal Tournament 2004
Unreal Tournament 2003
The Gladiators
Soldier Of Fortune 2
Soldiers Of Anarchy
Shogun: Total War: Warlord Edition
Ravenshield
Neverwinter Nights
Need For Speed: Underground
Need For Speed: Hot Pursuit 2
NHL 2003
NHL 2002
Nascar Racing 2003
Nascar Racing 2002
Medal of Honor: Allied Assault: Spearhead
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault
James Bond 007: Nightfire
Industry Giant 2
IGI2: Covert Strike
Hidden and Dangerous 2
Half-Life
Gunman Chronicles
Global Operations
Freedom Force
FIFA 2003
FIFA 2002
Counter-Strike
Command and Conquer: Tiberian Sun
Command and Conquer: Red Alert2
Command and Conquer: Generals: Zero Hour
Command and Conquer: Generals
Black and White
Battlefield 1942: Vietnam
Battlefield 1942: The Road To Rome
Battlefield 1942: Secret Weapons Of WWII
Battlefield 1942
Yahoo Messenger
AOL Instant Messenger
Call of Duty
Solder of Fortune 2
Windows Product ID