Nume:Worm/Sdbot.129024.27
Descoperit pe data de:30/11/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Scazut
Fisier static:Da
Marime:129.024 Bytes
MD5:f50ba23cf5bf5a3c0d65b28bdd346282
Versiune VDF:6.35.01.99
Versiune IVDF:6.35.01.100 - Mittwoch, 16. August 2006

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Grisoft: IRC/BackDoor.SdBot2.GDM
   •  Eset: Win32/IRCBot.SW
   •  Bitdefender: Trojan.FirewallBypass


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Blocheaza accesul la anumite website-uri
   • Inchide aplicatiile de securitate
   • Reduce setarile de securitate
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\shoutcast.exe



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "SHOUTCAST for Windows NT"="shoutcast.exe"



Urmatoarea cheie este adaugata in registri, in mod repetat, pentru a porni procesul dupa reboot.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SHOUTCAST for Windows NT"="shoutcast.exe"



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\shoutcast.exe"="%SYSDIR%\shoutcast.exe:*:Enabled:SHOUTCAST
      for Windows NT"



Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\ProductName\ProductID]


Urmatoarele chei din registri sunt modificate:

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
   Vechea valoare:
   • "Start"=%setarile utilizatorului%
   Noua valoare:
   • "Start"=dword:00000004

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
   Vechea valoare:
   • "DoNotAllowXPSP2"=%setarile utilizatorului%
     "DoNotAllowXPSP3"=%setarile utilizatorului%
   Noua valoare:
   • "DoNotAllowXPSP2"=dword:00000001
     "DoNotAllowXPSP3"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\security center]
   Vechea valoare:
   • "FirewallDisableNotify"=%setarile utilizatorului%
     "UpdatesDisableNotify"=%setarile utilizatorului%
     "AntiVirusDisableNotify"=%setarile utilizatorului%
     "AntiVirusOverride"=%setarile utilizatorului%
     "FirewallOverride"=%setarile utilizatorului%
   Noua valoare:
   • "FirewallDisableNotify"=dword:00000001
     "UpdatesDisableNotify"=dword:00000001
     "AntiVirusDisableNotify"=dword:00000001
     "AntiVirusOverride"=dword:00000001
     "FirewallOverride"=dword:00000001

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • C$
   • D$


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

–Utilizatori si parole inregistrate.

– Lista de utilizatori si parole:
   • www; windows; web; visitor; test2; test1; test; temp; telnet; ruler;
      remote; real; random; qwerty; public; pub; private; poiuytre;
      password; passwd; pass; oracle; one; nopass; nobody; nick; newpass;
      new; network; monitor; money; manager; mail; login; internet; install;
      hello; guest; free; demo; default; debug; database; crew; computer;
      coffee; bin; beta; backup; backdoor; anonymous; anon; alpha; adm;
      access; abc123; abc; system; sys; super; sql; shit; shadow; setup;
      security; secure; secret; 123456789; 12345678; 1234567; 123456; 12345;
      1234; 123; 00000000; 0000000; 000000; 00000; 0000; 000; server;
      administrateur; root; admin



Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: fbi32.cheapdf.**********
Port: 9568
Canal: #asn
Nick: %versiune Windows%|USA|%combinatie de doua caractere aleatoare%
Parola: owned



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Utilizatorul curent
    • Informatii despre retea


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS UDP
    • dezactivarea partajarii de resurse in retea
    • descarcare fisier
    • activarea partajarii de resurse in retea
    • intrare pe canal IRC
    • Scaneaza reteaua
    • trimitere email-uri
    • Se actualizeaza singur
    • Vizitarea unui website

 Fisiere host Fisierul

– In acest caz, inregistrarile existente sunt sterse.

– Accesul la urmatoarele domenii este redirectionat catre alte destinatii:
   • www.virustotal.com
   • virusscan.jotti.org
   • sandbox.norman.no




Fisierul hosts modificat va arata astfel:


 Terminarea proceselor Lista cu procesele oprite:
   • taskmgr.exe; process.exe; mmc.exe; regedit32.exe; regedit.exe;
      msconfig.exe; pccpfw.exe; kpf4gui.exe; fsguiexe.exe; efpeadm.exe;
      persfw.exe; zlclient.exe; Smc.exe; fsdfwd.exe; blackd.exe;
      MpfService.exe; nisum.exe; hijackthis.exe; MSASCui.exe; MsMpEng.exe;
      unregaaw.exe; blindman.exe; TeaTimer.exe; SpyCatcher.exe;
      swdoctor.exe; Tmas.exe; MssCli.exe; PPActiveDetection.exe;
      SpySweeper.exe; sunasServ.exe; Ad-Aware.exe; SpybotSD.exe;
      gcasServ.exe; Tmntsrv.exe; avgcc.exe; AVENGINE.EXE; ashAvast.exe;
      AVWIN.EXE; ntrtscan.exe; Mcshield.exe; fsav32.exe; AVKWCtl.exe;
      NAVAPSVC.exe


 Alte informatii Mutex:


Creeaza unul dintre Mutex-urile:
   • prison
   • owned

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • ENIGMA

Die Beschreibung wurde erstellt von Monica Ghitun am Donnerstag, 30. November 2006
Die Beschreibung wurde geändert von Monica Ghitun am Donnerstag, 11. Januar 2007

zurück . . . .