Net-Worm.Win32.Randon

Classe pour les parents: VirWare

Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.

Classe: Net-Worm

Net-Worms se propagent via des réseaux informatiques. La caractéristique distinctive de ce type de ver est qu'il ne nécessite pas d'action de l'utilisateur pour se propager. Ce type de ver recherche généralement les vulnérabilités critiques des logiciels s'exécutant sur les ordinateurs en réseau. Afin d'infecter les ordinateurs sur le réseau, le ver envoie un paquet réseau spécialement conçu (appelé exploit) et par conséquent le code du ver (ou une partie du code du ver) pénètre dans l'ordinateur de la victime et l'active. Parfois, le paquet réseau contient uniquement la partie du code de ver qui va télécharger et exécuter un fichier contenant le module de ver principal. Certains vers de réseau utilisent simultanément plusieurs exploits pour se propager, augmentant ainsi la vitesse à laquelle ils trouvent des victimes.

Plus d'informations

Plateforme: Win32

Win32 est une API sur les systèmes d'exploitation Windows NT (Windows XP, Windows 7, etc.) qui prend en charge l'exécution des applications 32 bits. L'une des plateformes de programmation les plus répandues au monde.

Description

Détails techniques

Randon est un Virus-Worm distribué via des canaux IRC et des LAN avec des ressources partagées.

Lorsqu'il est exécuté, ce ver installe ses composants dans le sous-répertoire zxz et / ou zx du répertoire système Windows et enregistre son fichier principal et le client mIRC dans la clé d'exécution automatique du registre Windows (ci-dessous):

HKLM SoftwareMicrosoftWindowsCurrentVersionRunupdateWins

Randon exécute ensuite la clé ci-dessus et masque le processus via l'utilitaire HideWIndows . Randon se connecte au serveur IRC et exécute ses scripts. En plus des attaques DDoS et de l'inondation des canaux IRC, Randon analyse le port 445 d'autres clients IRC.

Distribution
Lors de la détection d'un port ouvert (445), le ver exécute les fichiers batch sencs.bat et incs.bat qui tentent de localiser les ressources ouvertes sur l'ordinateur distant et de s'y connecter en utilisant l'un des mots de passe suivants:

"admin", "administrateur", "root", "admin", "test", "test123", "temp", "temp123", "passe", "mot de passe", "changeme"   

Si une connexion réussit, le ver ouvre une socket sur le port 445, transfère le cheval de Troie TrojanDownloader.WIn32.APher.gen et l'exécute. Ce cheval de Troie télécharge une archive auto-extractible de la version 'complète' du ver à partir de "www.q8kiss.net" et l'installe dans le système.

Information additionnelle
Le ver Randon est composé des éléments suivants:

Deta.exe - Utilitaire HideWindows (fichier WIN32 exe)
fControl.a - un script IRC (analyse de port et ordinateurs distants d'infection)
IfCOntrol.a - un script IRC (inondation des canaux IRC et attaques DDoS (pinging différentes adresses))
incs.bat - Fichier BATCH (mot de passe des ressources LAN)
Libparse.exe est l'utilitaire "PrcView" (fichier EXE Win32)
psexec.exe est un utilitaire "PsExec" (fichier EXE Win32)
rcfg.ini - Fichier IRC INI (chargement d'autres scripts)
rconnect.conf - fichier de configuration
reader.w - liste des pseudonymes utilisés par ver pour établir une connexion avec les canaux IRC
Sa.exe - TrojanDOwnloader.Win32.Apher
scontrol.a - script IRC d'aide.
sencs.bat - Fichier BAT (ce fichier est transféré sur l'ordinateur distant pour effectuer l'exécution de TrojanDownloader)
systrey.exe - client mIRC renommé (fichier EXE Wind32).

En savoir plus

Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com