Descripción completa

Nume:	Worm/SdBot.64240
Descoperit pe data de:	26/09/2005
Tip:	Vierme
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Mediu
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	64.240 Bytes
MD5:	b307cb11cbc9f302a6668e87cbcb42f9
Versiune VDF:	6.32.00.43

General Metoda de raspandire:
   • Reteaua locala

Alias:
   • Symantec: W32.Spybot.Worm
   • Kaspersky: Backdoor.Win32.SdBot.afx
   • TrendMicro: WORM_SDBOT.CKI
   • Sophos: W32/Sdbot-ADP
   • VirusBuster: Worm.SdBot.BIX
   • Eset: IRC/SdBot
   • Bitdefender: Backdoor.SDBot.AFX

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Reduce setarile de securitate
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

Fisiere Se copiaza in urmatoarea locatie:
• %WINDIR%\spool.exe

Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– HKLM\SYSTEM\CurrentControlSet\Services\winspool32
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%WINDIR%\spool.exe
   • "DisplayName"="Windows Spooler"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valori hex%
   • "Description"="Manages print jobs and keep documents in queue"

Se adauga in registrii sistemului:

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   • "DoNotAllowXPSP2"=dword:00000001

Urmatoarele chei din registri sunt modificate:

– HKLM\SOFTWARE\Microsoft\Security Center
   Vechea valoare:
   • "AntiVirusDisableNotify"=%setarile utilizatorului%
   • "FirewallDisableNotify"=%setarile utilizatorului%
   • "UpdatesDisableNotify"=%setarile utilizatorului%
   • "AntiVirusOverride"=%setarile utilizatorului%
   • "FirewallOverride"=%setarile utilizatorului%
   Noua valoare:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

Dezactiveaza Windows Firewall:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   Vechea valoare:
   • "EnableFirewall"=%setarile utilizatorului%
   Noua valoare:
   • "EnableFirewall"=dword:00000000

Dezactiveaza Windows Firewall:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
   Vechea valoare:
   • "EnableFirewall"=%setarile utilizatorului%
   Noua valoare:
   • "EnableFirewall"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   Vechea valoare:
   • "AUOptions"=%setarile utilizatorului%
   Noua valoare:
   • "AUOptions"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Vechea valoare:
   • "restrictanonymous"=%setarile utilizatorului%
   Noua valoare:
   • "restrictanonymous"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   Vechea valoare:
   • "AutoShareWks"=%setarile utilizatorului%
   • "AutoShareServer"=%setarile utilizatorului%
   Noua valoare:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
   Vechea valoare:
   • "AutoShareWks"=%setarile utilizatorului%
   • "AutoShareServer"=%setarile utilizatorului%
   Noua valoare:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Ole
   Vechea valoare:
   • "EnableDCOM"=%setarile utilizatorului%
   Noua valoare:
   • "EnableDCOM"="N"

– HKLM\SYSTEM\CurrentControlSet\Control
   Vechea valoare:
   • "WaitToKillServiceTimeout"=%setarile utilizatorului%
   Noua valoare:
   • "WaitToKillServiceTimeout"="7000"

Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • Z$
   • Z$
   • Y$
   • X$
   • W$
   • V$
   • U$
   • T$
   • S$
   • R$
   • Q$
   • P$
   • O$
   • N$
   • M$
   • L$
   • K$
   • J$
   • I$
   • H$
   • G$
   • F$
   • E$
   • D$
   • C$
   • IPC$
   • ADMIN$

Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.

Procesul de infectare:
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.

Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: ns2.cont**********
Port: 57
Canal: #4
Nick: [P00|USA|%sir de 5 caractere aleatoare%]
Parola: r

– Acest malware poate obtine si trimite urmatoarele informatii:
    • Informatii despre procesele sistemului

– In plus, poate efectua urmatoarele operatii:
    • descarcare fisier
    • executarea unui fisier
    • terminare proces
    • Scaneaza reteaua
    • Porneste rutina de raspandire
    • Se actualizeaza singur

Terminarea proceselor Lista cu serviciile dezactivate:
   • Security Center
   • Telnet
   • Remote Registry
   • Messenger

Backdoor Servere contactate:
Urmatoarele:
   • http://hpcgi1.nifty.com/mute/c/**********
   • http://www.age.ne.jp/x/maxwell/cgi-bin/**********
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/**********
   • http://cgi14.plala.or.jp/little_w/**********
   • http://yia.s22.xrea.com/**********
   • http://www.kinchan.net/cgi-bin/**********

Alte informatii Mutex:
Creeaza urmatorul mutex:
• bish u sux

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Irina Boldea el jueves 9 de marzo de 2006
Descripción actualizada por Irina Boldea el martes 14 de marzo de 2006

Volver . . . .

Protección destacada para PC del hogar

Productos gratis

Más populares

Todos los productos

Paquetes de soluciones

Terminales

Server

Paquetes de soluciones

Puertas de enlace de correo

Puertas de enlace web

Plataformas de colaboración

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas