Un worm che sta sfidando gli alfabeti internazionali, tra un po' non ci saranno
più lettere disponibili per indicarne le innumerevoli varianti.
Data la loro quantità, quando l'antivirus indica una versione .gen, solitamente
significa che è una variante non meglio identificata, e per riconoscerla occorre
tentare con altri antivirus, anche se non è detto che questi al momento la
sappiano individuare.
Per ogni variante, una volta identificata, sarà comunque meglio approfondire la sua
conoscenza con le analisi dettagliate delle case di antivirus, nonostante il fatto che
da un'attenta lettura delle stesse, si scoprano purtoppo anche incongruenze e differenze,
ma qui cerchiamo di dare, dove possibile, almeno un'indicazione di massima per non perdersi
nei meandri delle sigle.
Denominazioni Symantec e aliases, in ordine di apparizione:
06/06/2003 - W32.Randex.B - W32/Sluter.worm [McAfee] - Worm_Sluter.A [Trend] - Worm.Win32.Sluter [KAV]
18/06/2003 - W32.Randex.C - W32/Randbot.worm [McAfee]
27/06/2003 - W32.Randex.D - W32/Slanper.worm [McAfee] - Worm.Win32.Randex.d [KAV]
12/08/2003 - W32.Randex.E - IRC-BBot [McAfee] - W32/Spybot.worm.lz [McAfee] - Worm_Rpcsdbot.a [Trend]
14/08/2003 - W32.Randex.F - Backdor.IRCBot.gen [KAV] - W32/Sluter.worm [McAfee]
14/08/2003 - W32.Randex.G - W32/Randex.worm.c [McAfee] - Backdoor.SdBot.gen [KAV]
16/08/2003 - W32.Randex.H
05/09/2003 - W32.Randex.J
24/09/2003 - W32.Randex.P
03/10/2003 - W32.Randex.Q
24/10/2003 - W32.Randex.R - W32/Sdbot.worm.gen [McAfee] - Backdoor.SdBot.gen [KAV]
29/10/2003 - W32.Randex.S
30/10/2003 - W32.Randex.T
04/11/2003 - W32.Randex.Y - Backdoor.IRCBot.gen [KAV] - W32/Spybot.worm.rp [McAfee]
06/11/2003 - W32.Randex.Z - BAckdoor.Sdbot.by [KAV]
10/11/2003 - W32.Randex.AD - Backdoor.Sdbot.gen [KAV] - W32/Sdbot.worm.gen [McAfee]
19/11/2003 - W32.Randex.AR
21/11/2003 - W32.Randex.AT - Backdoor.SdBot.gen [KAV]
24/11/2003 - W32.Randex.AW - Backdoor.SdBot.gen [KAV] - W32/Sdbot.worm.gen [McAfee]
25/11/2003 - W32.Randex.AX
02/12/2003 - W32.Randex.gen
04/12/2003 - W32.Randex.AZ - W32.Randex.AX
09/12/2003 - W32.Randex.BD - Backdoor.IRCBot.gen [KAV]
15/12/2003 - W32.Randex.BE - W32/Sdbot.worm.gen.b [McAfee] - Backdoor.SdBot.gen [KAV]
Direttamente dalla rete da altre macchine infette, tramite condivisioni aperte senza password o con
password deboli, è sufficiente essere connessi ad Internet.
Alcune varianti aprono la strada ad altre backdoor.
Automaticamente lasciando sul proprio pc condivisioni di files o cartelle o addirittura dell'intero disco (p.es. C$, Admin$, ipc$), con password deboli o senza password, in alcuni casi approfittando di vulnerabilità del sistema stesso, per esempio la vulnerabilità DCOM RPC (quella sfruttata anche dal Blaster) di cui al bollettino Microsoft MS03-26
A seconda della versione, apre la strada ad altre backdoor, permette l'accesso ad altri al proprio pc o rete,
genera attacchi DDoS o invia pacchetti di dati ad altre macchine, si appropria delle condivisioni presenti
sulla macchina infetta, crea files e chiavi di registro, ruba le chiavi di accesso di una serie di giochi,
comunica dati a server IRC predefiniti, in attesa di istruzioni dal suo capo.
Si nota generalmente un rallentamento del sistema, più o meno evidente a seconda del tipo di macchina infetta.
A seconda della versione, porte TCP o UDP, 20, 69, 113, 445, 1024, 3330, 3331, 3332, 3361, 4024, 4444, 55808 o altre random.
Quelle inesistenti e, a seconda della versione del worm, le seguenti:
admin
Administrateur
administrator
Administrator
asdf
asdfgh
Beheerder
computer
database
Gast
girl
guest
Guest
hacker
hidden
iloveyou
l337
leet
love
me
nt
owner
pass
password
pass123
password123
pussy
root
secret
server
sql
sqlagent
super
system
tits
user
wwwadmin
xp
1
111
123
1234
123456
2600
2800
654321
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
Oltre a creare proprie condivisioni e cartelle, vengono creati altri files, di cui occorre far bene attenzione al nome, in quanto spesso molto simili ad altri di sistema, o addirittura uguali ma creati in directory diverse, oppure, come nel caso dei servizi, incorporati in un servizio già esistente (semplificando di molto il concetto).
Randex.B - msslut32.exe
Randex.C - msmonk32.exe, gesfm32.exe
Randex.D - msmsgri32.exe, payload.dat
Randex.E - nstask32.exe, winlogin.exe, win32sockdrv.dll, winsock32drv.dll, yuetyutr.dll
Randex.F - netfd32.exe, msnv32.exe, bigbadvirus.exe
Randex.G - ph32.exe, netfd2.exe
Randex.H - netfd32.exe, spoolsrv.exe
Randex.J - spolds.exe, spoler.exe
Randex.P - Cnqmax.exe, Amqj.exe, Gfac.exe, Kp.exe
Randex.Q - musirc4.71.exe
Randex.R - service.exe
Randex.S - CSysTime.exe
Randex.T - crsoss.exe, vqmss.exe, efqvb.exe, qevqeb.exe, evvqs.exe, ghjgrt.exe, nvdes.exe, nvdas.exe
Randex.Y - XBox64.exe, netd32.exe
Randex.Z - nstrue.exe, mqfncv.exe
Randex.AD - iexplore.exe
Randex.AR - Svnet32.exe, Lsass32.exe
Randex.AT - GMT16.exe, m00.exe
Randex.AW - ACTIVAT0R.exe, Service.exe
Randex.AX - mssql32.exe, QMS32.exe, ms093upd.dat, MSL3232.exe, MSL32.exe
Randex.AZ - EXECDLL32.exe, msnv32.exe
Randex.BD - CfgDll32.exe, cmst32.exe, Svnet32.exe, Runtime.bat
Randex.BE - bmqnzkg.exe
A parte qualche eccezione, le chiavi di registro aggiunte dalle varie versioni sono sempre al solito posto, ma anche se nella maggior parte dei casi quelle interessate sono solo due, meglio verificare sempre tutte le seguenti:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
aggiunge "superslut"="msslut32.exe"
Randex.Caggiunge "Microsoft Netview"="%System%\gesfm32.exe"
Randex.Daggiunge "mssyslanhelper"="msmsgri32.exe"
oppure "mslanhelper"="msmsgri32.exe"
e la sua Backdoor Roxy
aggiunge "System Initialization"="payload.dat"
aggiunge "NDplDeamon"="nstask32.exe"
aggiunge "NDpLDeamon"="winlogin.exe"
aggiunge "winlogon"="winlogin.exe"
in W95, W98 o ME aggiunge al file System.ini la seguente riga
[boot]
shell = explorer.exe <nomefile del virus<
in Windows NT, 2000 o XP modifica la chiave originale
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
con "Shell"="explorer.exe winlogin.exe"
oppure "Shell"="explorer.exe nstask32.exe"
aggiunge "MicrosoftNetwork Daemon for Win32" = NETD32.EXE
aggiunge "Microsoft Netview Component v5.1" = msnv32.exe
aggiunge "This is a virus, please delete it" = bigbadvirus.exe
aggiunge "Winux Piriax Service" = PH32.EXE
Randex.Haggiunge "Microsoft Spool Server for Win32" = "spoolsrv.exe"
Randex.Jaggiunge "helpmanager"=%System%\spoler.exe
Randex.Paggiunge "Mspatch89"="%System%\cnqmax.exe"
Randex.Qaggiunge "MusIRC (irc.music.com) client"=%System%\musirc4.71.exe
Randex.Raggiunge "Windows Services" = "service.exe"
Randex.Saggiunge "System time updator"="CSysTime.exe"
Randex.Taggiunge "Postpatch"="nvdes.exe"
aggiunge "Postdavatch"="nvdas.exe"
aggiunge "Iamnacho On Irc.MusIrc.com Is a Homosexual!=XBox64.exe"
crea
HKEY_LOCAL_MACHINE\SOFTWARE\Krypton\<percorsoenomefileoriginalevirus>
HKEY_LOCAL_MACHINE\SOFTWARE\Krypton\%System%\XBox64.exe
aggiunge "Pofatch"="nstrue.exe"
Randex.ADaggiunge "System Configuration"="%System%\iexplore.exe"
Randex.ARaggiunge "Microsoft UPDATER32"="%System%\lsass32.exe"
Randex.ATaggiunge "Microsoft Internet Firewall Manager"="GMT16.exe"
Randex.AWaggiunge "kernel system daemon" = "ACTIVAT0R.exe"
Randex.AX"Microsoft Database Handler" = "mssql32.exe"
"Microsoft Windows Dependency Rerouter" = "QMS32.exe"
aggiunge "System Executable DLL Library" = "EXECDLL32.exe"
Randex.BDaggiunge "Microsoft Runtime"="CfgDll32.exe"
Randex.BEaggiunge "Casdvqwa" = "bmqnzkg.exe"
Se si ha un po' di dimestichezza con il pc, una volta individuato il tipo di virus la pulizia può anche essere fatta tutta a mano, ma l'ausilio di un buon antivirus sempre aggiornato non guasta mai, e nel dubbio, trattandosi di un worm con molte varianti, anche una scansione prudenziale con un secondo antivirus può risultare utile, specialmente perché una nuova versione riveduta e corretta dal lamerozzo di turno potrebbe sempre avere altri nomi di files ed altre caratteristiche.
Utile ed interessante anche controllare i files in esecuzione, sia con ctrl+alt+canc (Task Manager) che con msinfo32, nativo in tutte le versioni di Windows a parte W95, in cui però può essere "trapiantato" con ottimi risultati :-)