Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/SdBot.571392.1
Entdeckt am:20/02/2008
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:571.392 Bytes
MD5 Prfsumme:672ebe523a7ebd0A884b5cb7d7dd3888
IVDF Version:7.00.02.168 - Mittwoch, 20. Februar 2008

 General Verbreitungsmethoden:
   • Lokales Netzwerk
   • Peer to Peer


Aliases:
   •  Mcafee: W32/Sdbot.worm
   •  Kaspersky: Backdoor.Win32.SdBot.cqd
   •  F-Secure: Backdoor.Win32.SdBot.cqd
   •  Sophos: W32/Sdbot-DKD
   •  Grisoft: IRC/BackDoor.SdBot3.YIN
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.SDBot.DFPJ


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
   • Stiehlt Informationen
   • Ermglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\svchost.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.

 Registry Die folgenden Registryschlssel werden hinzugefgt um den Service nach einem Neustart des Systems erneut zu laden.

[HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win-32 Service]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %WINDIR%\svchost.exe
   • DisplayName = Generic Host Process for Win-32 Service
   • ObjectName = LocalSystem
   • FailureActions = %Hex Werte%
   • Description = Generic Host Process for Win-32 Service

[HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win-32 Service\Security]
   • Security = %Hex Werte%



Folgende Registryschlssel werden gendert:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   Neuer Wert:
   • %zufllige Buchstabenkombination% = %ausgefhrte Datei%

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • shell = explorer.exe
   Neuer Wert:
   • shell = explorer.exe %WINDIR%\svchost.exe

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • sfcdisable = 1113997
   • sfcscan = 0

[HKLM\Software\Microsoft\Security Center]
   Neuer Wert:
   • antivirusdisablenotify = 1
   • antivirusoverride = 1
   • firewalldisablenotify = 1
   • firewalloverride = 1
   • updatesdisablenotify = 1

[HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate]
   Neuer Wert:
   • donotallowxpsp2 = 1

[HKLM\Software\Symantec\LiveUpdate Admin]
   Neuer Wert:
   • enterprise security manager = 1
   • ghost = 1
   • intruder alert = 1
   • liveadvisor = 1
   • liveupdate = 1
   • netrecon = 1
   • norton antivirus product updates = 1
   • norton antivirus virus definitions = 1
   • norton cleansweep = 1
   • norton commander = 1
   • norton internet security = 1
   • norton Systemworks = 1
   • norton utilities = 1
   • pc handyman and healthypc = 1
   • pcanywhere = 1
   • rescue disk = 1
   • symantec desktop firewall = 1
   • symantec gateway security ids = 1
   • symevent = 1

[HKLM\System\CurrentControlSet\Services\wscsvc]
   Neuer Wert:
   • start = 4

[HKLM\Software\Microsoft\OLE]
   Neuer Wert:
   • enabledcom = 78

[HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   Neuer Wert:
   • auoptions = 1

[HKLM\System\CurrentControlSet\Control\ServiceCurrent]
   Neuer Wert:
   • @ = 9

[HKLM\System\CurrentControlSet\Control]
   Neuer Wert:
   • waittokillservicetimeout = 7000

[HKLM\System\CurrentControlSet\Control\LSA]
   Neuer Wert:
   • restrictanonymous = 1

[HKLM\System\CurrentControlSet\Services\LanManServer\Parameters]
   Neuer Wert:
   • autoshareserver = 0
   • autosharewks = 0

[HKLM\System\CurrentControlSet\Services\LanManWorkstation\
   Parameters]
   Neuer Wert:
   • autoshareserver = 0
   • autosharewks = 0

[HKLM\System\CurrentControlSet\Services\Messenger]
   Neuer Wert:
   • start = 4

[HKLM\System\CurrentControlSet\Services\RemoteRegistry]
   Neuer Wert:
   • start = 4

[HKLM\System\CurrentControlSet\Services\tlntsvr]
   Neuer Wert:
   • start = 4

Deaktiviere Windows Firewall:
[HKLM\Software\Policies\Microsoft\WindowsFirewall\DomainProfile]
   Neuer Wert:
   • enablefirewall = 0

[HKLM\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]
   Neuer Wert:
   • enablefirewall = 0

Deaktivieren von Regedit und Task Manager:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Neuer Wert:
   • disableregistrytools = 1
   • disabletaskmgr = 1

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:


   Um das Standard-Download-Verzeichnis in Erfahrung zu bringen wird folgender Registry Eintrag ausgelesen:
   • SOFTWARE\Kazaa\LocalContent\DownloadDir


 Infektion ber das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.


Exploit:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)
 MS06-040 (Vulnerability in Server Service)


Ablauf der Infektion:
Auf dem bernommenen Computer wird ein FTP Skript erstellt. Dieses ldt die Malware auf den entfernten Computer.

 IRC Um Systeminformationen zu bermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: www.worldcasino.to
Port: 80
Nickname: [P00|USA|%Nummer%]



 Dieser Schdling hat die Fhigkeit folgende Informationen zu sammeln und zu bermitteln:
    • Versteckte Passwrter
    • Prozessorgeschwindigkeit
    • Aktueller Benutzer
     Details ber Treiber
    • Freier Festplattenplatz
    • Freier Hauptspeicher
    • Arbeitszeit der Malware
    • Informationen ber laufende Prozesse
    • Gre des Speichers
    • Benutzername
    • Information ber das Windows Betriebsystem


 Des Weiteren besitzt die Malware die Fhigkeit folgende Aktionen durchzufhren:
     DDoS ICMP Angriff starten
     DDoS SYN Angriff starten
     DDoS UDP Angriff starten
    • Gesharte Netzlaufwerke deaktivieren
    • Datei herunterladen
    • Registry editieren
    • Gesharte Netzlaufwerke aktivieren
    • Datei ausfhren
    • IRC Chatraum betreten
    • Prozess abbrechen
    • IRC Chatraum verlassen
    • ffnen einer remote shell
    • DDoS Attacke durchfhren
     Scannen des Netzwerks
     Starte Verbreitunsroutine
    • Malware beenden
    • Prozess beenden

 Hintertr Kontaktiert Server:
Einer der folgenden:
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/**********
   • http://www.kinchan.net/cgi-bin/**********
   • http://www.pistarnow.is.net.pl/**********
   • http://cgi.break.power.ne.jp/check/**********
   • http://www.proxy4free.info/cgi-bin/**********
   • http://69.59.137.236/cgi/**********
   • http://tutanchamon.ovh.org/**********
   • http://www.proxy.us.pl/**********
   • http://test.anonproxies.com/**********
   • http://www.nassc.com/**********
   • http://www.littleworld.pe.kr/**********
   • http://www.anonymitytest.com/cgi-bin/**********
   • http://tn0828-web.hp.infoseek.co.jp/cgi-bin/**********

Hierdurch knnen Informationen gesendet und Hintertrfunktionen bereitgestellt werden.

 Diebstahl Es wird versucht folgende Information zu klauen:
 Aufgezeichnete Passwrter welche von der AutoComplete Funktion verwendet werden
 Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

 Diverses  Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu berprfen:
   • www.google.com


Anti Debugging
Es wird berprft ob eines der folgenden Programme aktiv ist:
   • Softice
   • Wine
   • FileMon
   • Regmon

War dies erfolgreich wird die Malware sofort beendet.
War dies erfolgreich werden keine Dateien erstellt.


Datei modifizierung:
Um die Windows File Protection (WFP) auszuschalten hat es die Fhigkeit die Datei sfc_os.dll an Offset 0000E2B8 zu modifizieren. Mit WFP wird beabsichtigt einige der bekannten Probleme von DLL Inkonsistenz zu umgehen.

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Gherman am Montag, 16. Juni 2008
Die Beschreibung wurde geändert von Robert Harja Iliescu am Donnerstag, 24. Juli 2008

zurück . . . .