Nume:Worm/SdBot.41984.42
Descoperit pe data de:07/08/2007
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:41.984 Bytes
MD5:8f8b66e936ba101efc6e3cb5d1dec814
Versiune IVDF:6.39.00.219 - Dienstag, 7. August 2007

 General Metoda de raspandire:
   • Messenger


Alias:
   •  Mcafee: W32/Checkout
   •  Kaspersky: Backdoor.Win32.SdBot.aad
   •  F-Secure: Backdoor.Win32.SdBot.aad
   •  Sophos: W32/Imagine-A
   •  Panda: W32/MSNPoopy.A.worm
   •  Grisoft: IRC-Worm/Delf.CF
   •  Eset: Win32/IRCBot.XZ
   •  Bitdefender: Backdoor.Sdbot.AUX


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Creeaza fisiere
   • Reduce setarile de securitate
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\svchost.exe



Se copiaza intr-o arhiva in urmatoarea locatie:
   • %WINDIR%\img1756.zip



Sterge urmatorul fisier:
   • C:\a.bat



Este creat fisierul:

– C:\a.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.



Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • %SYSDIR%\net.exe
cu urmatorii parametri: stop "Security Center"


– Numele fisierului:
   • %SYSDIR%\net.exe
cu urmatorii parametri: stop winvnc4


– Numele fisierului:
   • %SYSDIR%\net1.exe
cu urmatorii parametri: stop "Security Center"


– Numele fisierului:
   • %SYSDIR%\net1.exe
cu urmatorii parametri: stop winvnc4

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Genuine Logon"="svchost.exe"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Windows Live Messenger


Mesaj
Mesajul transmis arata ca unul din urmatoarele:

   • look @ my cute new puppy :-D

   • look @ this picture of me, when I was a kid

   • I just took this picture with my webcam, like it?

   • check it, i shaved my head

   • have u seen my new hair?

   • what the fuck, did you see this?

   • hey man, did you take this picture?


Raspandire prin fisier
Trimite un fisier cu urmatorul nume:
   • img1756.zip

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: vpn.basecore.**********
Port: 1863
Parola serverului: letmein
Canal: #VPN#
Nick: %combinatie de caractere aleatoare%
Parola: torrent



– Acest malware poate obtine si trimite urmatoarele informatii:
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • deconectare server IRC
    • descarcare fisier
    • executarea unui fisier
    • terminare proces
    • repornirea sistemului
    • Porneste rutina de raspandire
    • Se actualizeaza singur

 Terminarea proceselor  Lista cu serviciile dezactivate:
   • Security Center
   • winvnc4

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • JFangaY

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Adriana Popa am Freitag, 9. November 2007
Die Beschreibung wurde geändert von Adriana Popa am Freitag, 9. November 2007

zurück . . . .