Nume:Worm/Sdbot.53675.17
Descoperit pe data de:20/11/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:53.675 Bytes
MD5:1df9bdd2d3b20Ad20B1199a46b90febe
Versiune VDF:6.36.01.52
Versiune IVDF:6.36.01.55 - Monday, November 20, 2006

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Kaspersky: Backdoor.Win32.SdBot.aad
   •  Sophos: Mal/Behav-001
   •  VirusBuster: Worm.SdBot.EKM
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.SDBot.AAD


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\svchost.exe



Redenumeşte următorul fişier:

    •  %SYSDIR%\sfc_os.dll în %SYSDIR%\trash%sir de 5 caractere aleatoare%



Sterge copia initiala a virusului.



Este creat fisierul:

– %SYSDIR%\sfc_os.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Sfc.A.mod

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win32 Service
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"="%WINDIR%\svchost.exe"
   • "DisplayName"="Generic Host Process for Win32 Service"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valori hex%
   • "Description"="Generic Host Process for Win32 Service"



Urmatoarele chei sunt adaugate in registrii sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "onliney"="%data curenta%"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "SFCScan"=dword:00000000
   • "SFCDisable"=dword:ffffff9d

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • d$\windows\system32c$\
   • d$\winnt\system32
   • c$\windows\system32
   • c$\winnt\system32
   • Admin$\system32
   • Admin$


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS05-039 (Vulnerability in Plug and Play)
– MS06-040 (Vulnerability in Server Service)


Procesul de infectare:
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: mail.telon-servers.net
Port: 7412
Canal: #
Nick: [P00|USA| %sir de 8 caractere aleatoare%]

Server: http.an1malmating.com
Port: 9632
Canal: #
Nick: [P00|USA| %sir de 8 caractere aleatoare%]



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Adresele de email colectate
    • Viteza procesorului
    • Informatii despre drivere
    • Spatiu liber pe disc
    • Memorie nealocata
    • Informatii despre retea
    • Informatii despre procesele sistemului
    • Cantitatea de memorie
    • Utilizator
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • dezactivarea partajarii de resurse in retea
    • deconectare server IRC
    • descarcare fisier
    • editare registru sistem
    • activarea partajarii de resurse in retea
    • executarea unui fisier
    • intrare pe canal IRC
    • terminare proces
    • parasire canal IRC
    • deschidere consola
    • Scaneaza reteaua
    • Inregistreaza un serviciu
    • terminare proces

 Terminarea proceselor Incearca sa inchida urmatoarele procese si sa stearga fisierele corespunzatoare:
   • bbeagle.exe; d3dupdate.exe; i11r54n4.exe; irun4.exe; MSBLAST.exe;
      mscvb32.exe; PandaAVEngine.exe; Penis32.exe; rate.exe; ssate.exe;
      sysinfo.exe; taskmon.exe; teekids.exe; winsys.exe


 Backdoor Servere contactate:
Urmatoarele:
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check**********
   • http://www.kinchan.net/cgi-bin/**********
   • http://www.pistarnow.is.net.pl/**********
   • http://cgi.break.power.ne.jp/check/**********
   • http://www.proxy4free.info/cgi-bin/**********
   • http://69.59.137.236/cgi/**********
   • http://tutanchamon.ovh.org/**********
   • http://www.proxy.us.pl/**********
   • http://test.anonproxies.com/**********
   • http://www.nassc.com/**********
   • http://www.littleworld.pe.kr/**********
   • http://www.anonymitytest.com/cgi-bin/**********
   • http://tn0828-web.hp.infoseek.co.jp/cgi-bin/**********


 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • y3o2o6q7m4b9

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Irina Boldea on Wednesday, January 31, 2007
Description updated by Irina Boldea on Wednesday, January 31, 2007

Back . . . .