Worm/SdBot.571392.1 - Worm

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	Worm/SdBot.571392.1
Entdeckt am:	20/02/2008
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel bis hoch
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	571.392 Bytes
MD5 Prüfsumme:	672ebe523a7ebd0A884b5cb7d7dd3888
IVDF Version:	7.00.02.168 - Wed, 20 Feb 2008 15:18 (GMT+1)

General Verbreitungsmethoden:
   • Lokales Netzwerk
   • Peer to Peer

Aliases:
   • Mcafee: W32/Sdbot.worm
   • Kaspersky: Backdoor.Win32.SdBot.cqd
   • F-Secure: Backdoor.Win32.SdBot.cqd
   • Sophos: W32/Sdbot-DKD
   • Grisoft: IRC/BackDoor.SdBot3.YIN
   • Eset: IRC/SdBot
   • Bitdefender: Backdoor.SDBot.DFPJ

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\svchost.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win-32 Service]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %WINDIR%\svchost.exe
   • DisplayName = Generic Host Process for Win-32 Service
   • ObjectName = LocalSystem
   • FailureActions = %Hex Werte%
   • Description = Generic Host Process for Win-32 Service

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win-32 Service\Security]
   • Security = %Hex Werte%

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   Neuer Wert:
   • %zufällige Buchstabenkombination% = %ausgeführte Datei%

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • shell = explorer.exe
   Neuer Wert:
   • shell = explorer.exe %WINDIR%\svchost.exe

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • sfcdisable = 1113997
   • sfcscan = 0

– [HKLM\Software\Microsoft\Security Center]
   Neuer Wert:
   • antivirusdisablenotify = 1
   • antivirusoverride = 1
   • firewalldisablenotify = 1
   • firewalloverride = 1
   • updatesdisablenotify = 1

– [HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate]
   Neuer Wert:
   • donotallowxpsp2 = 1

– [HKLM\Software\Symantec\LiveUpdate Admin]
   Neuer Wert:
   • enterprise security manager = 1
   • ghost = 1
   • intruder alert = 1
   • liveadvisor = 1
   • liveupdate = 1
   • netrecon = 1
   • norton antivirus product updates = 1
   • norton antivirus virus definitions = 1
   • norton cleansweep = 1
   • norton commander = 1
   • norton internet security = 1
   • norton Systemworks = 1
   • norton utilities = 1
   • pc handyman and healthypc = 1
   • pcanywhere = 1
   • rescue disk = 1
   • symantec desktop firewall = 1
   • symantec gateway security ids = 1
   • symevent = 1

– [HKLM\System\CurrentControlSet\Services\wscsvc]
   Neuer Wert:
   • start = 4

– [HKLM\Software\Microsoft\OLE]
   Neuer Wert:
   • enabledcom = 78

– [HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   Neuer Wert:
   • auoptions = 1

– [HKLM\System\CurrentControlSet\Control\ServiceCurrent]
   Neuer Wert:
   • @ = 9

– [HKLM\System\CurrentControlSet\Control]
   Neuer Wert:
   • waittokillservicetimeout = 7000

– [HKLM\System\CurrentControlSet\Control\LSA]
   Neuer Wert:
   • restrictanonymous = 1

– [HKLM\System\CurrentControlSet\Services\LanManServer\Parameters]
   Neuer Wert:
   • autoshareserver = 0
   • autosharewks = 0

– [HKLM\System\CurrentControlSet\Services\LanManWorkstation\
   Parameters]
   Neuer Wert:
   • autoshareserver = 0
   • autosharewks = 0

– [HKLM\System\CurrentControlSet\Services\Messenger]
   Neuer Wert:
   • start = 4

– [HKLM\System\CurrentControlSet\Services\RemoteRegistry]
   Neuer Wert:
   • start = 4

– [HKLM\System\CurrentControlSet\Services\tlntsvr]
   Neuer Wert:
   • start = 4

Deaktiviere Windows XP Firewall:
– [HKLM\Software\Policies\Microsoft\WindowsFirewall\DomainProfile]
   Neuer Wert:
   • enablefirewall = 0

– [HKLM\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]
   Neuer Wert:
   • enablefirewall = 0

Deaktivieren von Regedit und Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Neuer Wert:
   • disableregistrytools = 1
   • disabletaskmgr = 1

P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:

– Um das Standard-Download-Verzeichnis in Erfahrung zu bringen wird folgender Registry Eintrag ausgelesen:
• SOFTWARE\Kazaa\LocalContent\DownloadDir

Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Exploit:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)
–MS06-040 (Vulnerability in Server Service)

Ablauf der Infektion:
Auf dem übernommenen Computer wird ein FTP Skript erstellt. Dieses lädt die Malware auf den entfernten Computer.

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: www.worldcasino.to
Port: 80
Nickname: [P00|USA|%Nummer%]

– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Versteckte Passwörter
    • Prozessorgeschwindigkeit
    • Aktueller Benutzer
    • Details über Treiber
    • Freier Festplattenplatz
    • Freier Hauptspeicher
    • Arbeitszeit der Malware
    • Informationen über laufende Prozesse
    • Größe des Speichers
    • Benutzername
    • Information über das Windows Betriebsystem

– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • DDoS ICMP Angriff starten
    • DDoS SYN Angriff starten
    • DDoS UDP Angriff starten
    • Gesharte Netzlaufwerke deaktivieren
    • Datei herunterladen
    • Registry editieren
    • Gesharte Netzlaufwerke aktivieren
    • Datei ausführen
    • IRC Chatraum betreten
    • Prozess abbrechen
    • IRC Chatraum verlassen
    • Öffnen einer remote shell
    • DDoS Attacke durchführen
    • Scannen des Netzwerks
    • Starte Verbreitunsroutine
    • Malware beenden
    • Prozess beenden

Hintertür Kontaktiert Server:
Einer der folgenden:
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/**********
   • http://www.kinchan.net/cgi-bin/**********
   • http://www.pistarnow.is.net.pl/**********
   • http://cgi.break.power.ne.jp/check/**********
   • http://www.proxy4free.info/cgi-bin/**********
   • http://69.59.137.236/cgi/**********
   • http://tutanchamon.ovh.org/**********
   • http://www.proxy.us.pl/**********
   • http://test.anonproxies.com/**********
   • http://www.nassc.com/**********
   • http://www.littleworld.pe.kr/**********
   • http://www.anonymitytest.com/cgi-bin/**********
   • http://tn0828-web.hp.infoseek.co.jp/cgi-bin/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Diebstahl Es wird versucht folgende Information zu klauen:
– Aufgezeichnete Passwörter welche von der AutoComplete Funktion verwendet werden
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

Diverses Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
   • www.google.com

Anti Debugging
Es wird überprüft ob eines der folgenden Programme aktiv ist:
   • Softice
   • Wine
   • FileMon
   • Regmon

War dies erfolgreich wird die Malware sofort beendet.
War dies erfolgreich werden keine Dateien erstellt.

Datei modifizierung:
Um die Windows File Protection (WFP) auszuschalten hat es die Fähigkeit die Datei sfc_os.dll an Offset 0000E2B8 zu modifizieren. Mit WFP wird beabsichtigt einige der bekannten Probleme von DLL Inkonsistenz zu umgehen.

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Andrei Gherman am Mon, 16 Jun 2008 10:18 (GMT+1)
Beschreibung geändert von Robert Harja Iliescu am Thu, 24 Jul 2008 13:15 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück