Nume:Worm/Sdbot.53675.7
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:53.675 Bytes
MD5:a86b3f776bd1128c7fe8d4ec7dab9ba2
Versiune VDF:6.36.00.213
Versiune IVDF:6.36.00.237 - Sunday, November 5, 2006

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Kaspersky: Backdoor.Win32.SdBot.aad
   •  Sophos: W32/Tilebot-HW
   •  VirusBuster: Worm.SdBot.EKM
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.Sdbot.J


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\lsass.exe



Redenumeşte următorul fişier:

    •  %SYSDIR%\sfc_os.dll în %SYSDIR%\trash%sir de 5 caractere aleatoare%



Sterge copia initiala a virusului.



Este creat fisierul:

– %SYSDIR%\sfc_os.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Sfc.A.mod

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– HKLM\SYSTEM\CurrentControlSet\Services\LSA Shel (Export Version)
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\lsass.exe"
   • "DisplayName"="LSA Shel (Export Version)"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valori hex%
   • "Description"="LSA Shel (Export Version)"



Urmatoarele chei sunt adaugate in registrii sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "p3g9s4o2h8v1"="%data curenta%"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "SFCScan"=dword:00000000
   • "SFCDisable"=dword:ffffff9d

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • d$\windows\system32c$\
   • d$\winnt\system32
   • c$\windows\system32
   • c$\winnt\system32
   • Admin$\system32
   • Admin$


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnerability in Server Service)


Procesul de infectare:
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: mail.telon-**********
Port: 7412
Canal: #
Nick: [P00|USA| %sir de 8 caractere aleatoare%]

Server: http.an1mal**********
Port: 9632
Canal: #
Nick: [P00|USA| %sir de 8 caractere aleatoare%]



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Adresele de email colectate
    • Viteza procesorului
    • Informatii despre drivere
    • Spatiu liber pe disc
    • Memorie nealocata
    • Informatii despre retea
    • Informatii despre procesele sistemului
    • Cantitatea de memorie
    • Utilizator
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • dezactivarea partajarii de resurse in retea
    • deconectare server IRC
    • descarcare fisier
    • editare registru sistem
    • activarea partajarii de resurse in retea
    • executarea unui fisier
    • intrare pe canal IRC
    • terminare proces
    • parasire canal IRC
    • deschidere consola
    • Scaneaza reteaua
    • Inregistreaza un serviciu
    • terminare proces

 Terminarea proceselor Incearca sa inchida urmatoarele procese si sa stearga fisierele corespunzatoare:
   • bbeagle.exe; d3dupdate.exe; i11r54n4.exe; irun4.exe; MSBLAST.exe;
      mscvb32.exe; PandaAVEngine.exe; Penis32.exe; rate.exe; ssate.exe;
      sysinfo.exe; taskmon.exe; teekids.exe; winsys.exe


 Backdoor Servere contactate:
Urmatoarele:
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check**********
   • http://www.kinchan.net/cgi-bin/**********
   • http://www.pistarnow.is.net.pl/**********
   • http://cgi.break.power.ne.jp/check/**********
   • http://www.proxy4free.info/cgi-bin/**********
   • http://69.59.137.236/cgi/**********
   • http://tutanchamon.ovh.org/**********
   • http://www.proxy.us.pl/**********
   • http://test.anonproxies.com/**********
   • http://www.nassc.com/**********
   • http://www.littleworld.pe.kr/**********
   • http://www.anonymitytest.com/cgi-bin/**********
   • http://tn0828-web.hp.infoseek.co.jp/cgi-bin/**********


 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • 9lcgm4w6f8

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Irina Boldea on Tuesday, January 30, 2007
Description updated by Irina Boldea on Wednesday, January 31, 2007

Back . . . .