Nume:Worm/SdBot.138752.8
Descoperit pe data de:20/08/2007
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:138.752 Bytes
MD5:5101877e880Eae72419d17cef84ee9b9
Versiune IVDF:6.39.01.22 - Monday, August 20, 2007

 General Metoda de raspandire:
   • Messenger


Alias:
   •  Mcafee: W32/Sdbot.worm
   •  Kaspersky: Backdoor.Win32.SdBot.blt
   •  Eset: Win32/IRCBot.YW


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Creeaza fisiere
   • Reduce setarile de securitate
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\winsyshp.exe



Se copiaza intr-o arhiva in urmatoarea locatie:
   • %WINDIR%\img317.zip



Sterge urmatorul fisier:
   • C:\a.bat



Este creat fisierul:

– C:\a.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.



Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • %SYSDIR%\net.exe
cu urmatorii parametri: stop "Security Center"


– Numele fisierului:
   • %SYSDIR%\net.exe
cu urmatorii parametri: stop winvnc4


– Numele fisierului:
   • %SYSDIR%\net1.exe
cu urmatorii parametri: stop "Security Center"


– Numele fisierului:
   • %SYSDIR%\net1.exe
cu urmatorii parametri: stop winvnc4

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Visual Application"="winsyshp.exe"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Windows Live Messenger


Mesaj
Mesajul transmis arata ca unul din urmatoarele:

   • Why is this picture blurry?

   • Look @ my new car?

   • Where did you find this picture?

   • why did you show me this picture?

   • look at my baby picture

   • Did you see this?

   • Where is this picture taken?

   • Did you take this picture?

   • you drunk 2 much in this picture

   • Why are you naked in this picture?

   • look @ this

   • accept this picture

   • hey, mom my just told me 2 show this 2 you


Raspandire prin fisier
Trimite un fisier cu urmatorul nume:
   • img317.zip

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: pwn.basecore.**********
Port: 1863
Parola serverului: letmein
Canal: #PWN#
Nick: %combinatie de caractere aleatoare%
Parola: torrent



– Acest malware poate obtine si trimite urmatoarele informatii:
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • deconectare server IRC
    • descarcare fisier
    • executarea unui fisier
    • terminare proces
    • repornirea sistemului
    • Porneste rutina de raspandire
    • Se actualizeaza singur

 Terminarea proceselor  Lista cu serviciile dezactivate:
   • Security Center
   • winvnc4

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • fjasdf

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Adriana Popa on Friday, November 9, 2007
Description updated by Adriana Popa on Friday, November 9, 2007

Back . . . .