Nume:Worm/Agobot.100864
Descoperit pe data de:27/09/2004
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:100.864 Bytes
MD5:defc586fbd422d466a6bab7dfec48517
Versiune VDF:6.27.00.74

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Symantec: W32.HLLW.Gaobot
   •  TrendMicro: WORM_SDBOT.CHH
   •  Sophos: Exp/MS05039-A
   •  Grisoft: IRC/BackDoor.SdBot.LNF
   •  VirusBuster: Worm.SdBot.BIY
   •  Eset: Win32/TrojanDropper.ErPack
   •  Bitdefender: Backdoor.SDBot.DEB


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\svchosts32.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ScHost"="svchosts32.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "ScHost"="svchosts32.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
   • "DisableSR"="1"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "DisableSR"="1"

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
   • "NoAutoUpdate"="1"
   • "AUOptions"="1"

– HKCU\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
   • "NoAutoUpdate"="1"
   • "AUOptions"="1"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   • "AUOptions"="1"



Urmatoarele chei din registri sunt modificate:

– HKLM\SOFTWARE\Microsoft\Security Center
   Vechea valoare:
   • "FirewallDisableNotify"=%setarile utilizatorului%
   • "UpdatesDisableNotify"=%setarile utilizatorului%
   • "AntiVirusDisableNotify"=%setarile utilizatorului%
   Noua valoare:
   • "FirewallDisableNotify"="1"
   • "UpdatesDisableNotify"="1"
   • "AntiVirusDisableNotify"="1"

– HKCU\Software\Microsoft\Security Center
   Vechea valoare:
   • "FirewallDisableNotify"=%setarile utilizatorului%
   • "UpdatesDisableNotify"=%setarile utilizatorului%
   • "AntiVirusDisableNotify"=%setarile utilizatorului%
   Noua valoare:
   • "FirewallDisableNotify"="1"
   • "UpdatesDisableNotify"="1"
   • "AntiVirusDisableNotify"="1"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Vechea valoare:
   • "restrictanonymous"=%setarile utilizatorului%
   Noua valoare:
   • "restrictanonymous"="0"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • admin$
   • ipc$
   • d$
   • c$


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: panspn.mast**********
Port: 6667
Parola serverului: killer
Canal: #panspn
Nick: pa|%sir de 6 caractere aleatoare%
Parola: abcnet



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • Cantitatea de memorie
    • Utilizator
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS TCP
    • Lanseaza atacuri DDoS UDP
    • dezactivarea partajarii de resurse in retea
    • deconectare server IRC
    • descarcare fisier
    • editare registru sistem
    • activarea partajarii de resurse in retea
    • executarea unui fisier
    • intrare pe canal IRC
    • parasire canal IRC
    • executare atac DDoS
    • Scaneaza reteaua
    • redirectionare porturi
    • Porneste rutina de raspandire
    • Se actualizeaza singur
    • Face upload la un fisier
    • Vizitarea unui website

 Backdoor Deschide portul

– %SYSDIR%\svchosts32.exe port TCP aleator pentru a functiona ca un server proxy Socks 4,

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Irina Boldea on Monday, May 15, 2006
Description updated by Irina Boldea on Tuesday, May 16, 2006

Back . . . .