Nume:Worm/Sdbot.1222144
Descoperit pe data de:02/12/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:1.222.144 Bytes
MD5:bb0e25c27ddd351b55a3baba9b2d1ae0
Versiune VDF:6.36.01.115
Versiune IVDF:6.36.01.120 - Samstag, 2. Dezember 2006

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Kaspersky: Backdoor.Win32.SdBot.bah
   •  F-Secure: Backdoor.Win32.SdBot.bah
   •  Sophos: W32/Sdbot-CWC
   •  Grisoft: IRC/BackDoor.SdBot2.MLU
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.Sdbot.B


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\icmp1.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

– %TEMPDIR%\removeMe%sir de 4 caractere aleatoare%.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.
– %SYSDIR%\drivers\oreans32.sys

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000001
   • "ImagePath"="\??\%SYSDIR%\drivers\oreans32.sys"
   • "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Urmatoarele chei din registri sunt modificate:

– [HKLM\SYSTEM\ControlSet\Control]
   Vechea valoare:
   • "WaitToKillServiceTimeout"="20000"
   Noua valoare:
   • "WaitToKillServiceTimeout"="7000"

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Vechea valoare:
   • "UpdatesDisableNotify"=%setarile utilizatorului%
   • "AntiVirusDisableNotify"=%setarile utilizatorului%
   • "FirewallDisableNotify"=%setarile utilizatorului%
   • "AntiVirusOverride"=%setarile utilizatorului%
   • "FirewallOverride"=%setarile utilizatorului%
   Noua valoare:
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
   Vechea valoare:
   • "EnableFirewall"=%setarile utilizatorului%
   Noua valoare:
   • "EnableFirewall"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
   Vechea valoare:
   • "EnableFirewall"=%setarile utilizatorului%
   Noua valoare:
   • "EnableFirewall"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   Vechea valoare:
   • "AUState"=dword:00000007
   • "AUOptions"=dword:00000001
   Noua valoare:
   • "AUState"=dword:00000001
   • "AUOptions"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
   Vechea valoare:
   • "Start"=%setarile utilizatorului%
   Noua valoare:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr]
   Vechea valoare:
   • "Start"=%setarile utilizatorului%
   Noua valoare:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
   Vechea valoare:
   • "Start"=%setarile utilizatorului%
   Noua valoare:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\Messenger]
   Vechea valoare:
   • "Start"=%setarile utilizatorului%
   Noua valoare:
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Vechea valoare:
   • "restrictanonymous"=%setarile utilizatorului%
   Noua valoare:
   • "restrictanonymous"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   Noua valoare:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\
   parameters]
   Noua valoare:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
   Vechea valoare:
   • "DoNotAllowXPSP2"=%setarile utilizatorului%
   Noua valoare:
   • "DoNotAllowXPSP2"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Ole]
   Noua valoare:
   • "EnableDCOM"="N"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • Z$
   • Y$
   • X$
   • W$
   • V$
   • U$
   • T$
   • S$
   • R$
   • Q$
   • P$
   • O$
   • N$
   • M$
   • L$
   • K$
   • J$
   • I$
   • H$
   • G$
   • F$
   • E$
   • D$
   • C$
   • ADMIN$
   • IPC$


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)
– MS06-040 (Vulnerability in Server Service)


Procesul de infectare:
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: olin.myip.**********
Port: 7000
Parola serverului: kurva
Canal: #NPX#
Nick: [P01|USA|%sir de 5 caractere aleatoare%]
Parola: NetAPIX



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
    • Informatii despre drivere
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • Cantitatea de memorie
    • Utilizator
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • dezactivarea partajarii de resurse in retea
    • editare registru sistem
    • activarea partajarii de resurse in retea
    • trimitere email-uri
    • Se actualizeaza singur

 Terminarea proceselor  Lista cu serviciile dezactivate:
   • Security Center
   • Windows Firewall/ICS
   • Remote Registry
   • Telnet
   • wscsvc
   • SharedAccess
   • Messenger
   • RemoteRegistry
   • Tlntsvr

 Backdoor Servere contactate:
Urmatoarele:
   • http://hpcgi1.nifty.com/mute/c/**********
   • http://www.age.ne.jp/x/maxwell/cgi-bin/**********
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/**********
   • http://cgi14.plala.or.jp/little_w/**********
   • http://yia.s22.xrea.com/**********
   • http://www.kinchan.net/cgi-bin/**********

Astfel se pot transmite informatii. Aceasta se face printr-o interogare HTTP GET intr-un script CGI.

 Alte informatii Metode anti-debugging
Verifica daca ruleaza urmatorul program:
   • SoftIce



Modificare de fisiere:
Pentru a creste numarul maxim de conexiuni, are capacitatea de a modifica fisierul tcpip.sys . Aceasta poate afecta fisierul si intrerupe conectarea la retea.

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Adriana Popa am Montag, 8. Januar 2007
Die Beschreibung wurde geändert von Adriana Popa am Montag, 8. Januar 2007

zurück . . . .