Worm.Win32_Rbot-AAF

Description Détails Désinfection
VirusTraQ ID: VTQ10237
Date de publication: 07/04/2005 à 23:13:09

Date de mise à jour : 07/04/2005 à 23:15:24

Niveau de menace: Niveau Faible Faible

Catégorie: Ver
Type: Ver Win32

Alias: W32/Rbot-AAF (Sophos)
Backdoor.Win32.Rbot.nf
WORM_RBOT.BBP (Trend Micro)

Origine: Inconnue
Plateforme(s) affectée(s): Windows (Tous)

Description:

Rbot-AAF est un ver de réseau qui tente de se propager via des partages réseau. Il contient des fonctions de porte dérobée qui permettent via des canaux IRC un accès distant non autorisé à l'ordinateur infecté.

Le ver se propage sur les partages réseau protégés par des mots de passe faibles et aussi en utilisant les failles de sécurité LSASS (MS04-011), RPC-DCOM (MS03-039) et WebDav (MS03-007).

Une fois installé, Rbot-AAF tente de participer à des attaques par déni de service distribué (DDoS), de télécharger des fichiers depuis Internet et de les exécuter, de dérober des clés de CD-ROM, d'enregistrer des frappes de touches et d'ouvrir une session sur des serveurs MS SQL et d'envoyer des commandes EXEC pour ouvrir un shell de commandes lorsque l'attaquant distant l'ordonne.

Rbot-AAF peut essayer d'exploiter les portes dérobées et les failles utilisées par la famille de vers MyDoom.

Références:
- Sophos (FR): w32rbotaaf
- TrendMicro: WORM_RBOT.BBP

Autres variantes :

[2005-06-20] Worm.Win32_Rbot-AFR
[2005-06-02] Worm.Win32_Rbot-AEF
[2005-05-03] Worm.Win32_Rbot-ABP
[2005-04-20] Worm.Win32_Rbot-AAY
[2005-04-13] Worm.Win32_Rbot-AAJ
[2005-04-12] Worm.Win32_Tirbot-D
[2005-04-04] Worm.Win32_Rbot-ZN
[2005-04-04] Worm.Win32_Rbot-ZP
[2005-03-23] Worm.Win32_Rbot-ZA
[2005-03-16] Worm.Win32_Rbot-XW




http://www.smtechnologie.com