Nume:Worm/SdBot.aad.324
Descoperit pe data de:12/12/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:45.568 Bytes
MD5:79b81291d13147d8ed1b086b558bd06c
Versiune VDF:6.33.00.19

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Symantec: W32.Spybot.Worm
   •  Kaspersky: Backdoor.Win32.SdBot.aad
   •  TrendMicro: WORM_SDBOT.CTH
   •  F-Secure: Backdoor.Win32.SdBot.aad
   •  Sophos: W32/Tilebot-CF
   •  Panda: W32/Sdbot.FWB.worm
   •  VirusBuster: Worm.SdBot.BQG
   •  Bitdefender: Backdoor.SDBot.AJB


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Reduce setarile de securitate
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\scvhost.exe



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– HKLM\SYSTEM\CurrentControlSet\Services\lsass
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\scvhost.exe"
   • "DisplayName"="Local Security Authority Subsystem Service"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valori hex%
   • "Description"="Microsoft Path Finder Service Displays Internet Routing Paths."



Se adauga in registrii sistemului:

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   • "DoNotAllowXPSP2"=dword:00000001



Urmatoarele chei din registri sunt modificate:

– HKLM\SYSTEM\CurrentControlSet\Control
   Vechea valoare:
   • "WaitToKillServiceTimeout"=%setarile utilizatorului%
   Noua valoare:
   • "WaitToKillServiceTimeout"="7000"

– HKLM\SOFTWARE\Microsoft\Security Center
   Vechea valoare:
   • "UpdatesDisableNotify"=%setarile utilizatorului%
   • "AntiVirusDisableNotify"=%setarile utilizatorului%
   • "FirewallDisableNotify"=%setarile utilizatorului%
   • "AntiVirusOverride"=%setarile utilizatorului%
   • "FirewallOverride"=%setarile utilizatorului%
   Noua valoare:
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

Dezactiveaza Windows Firewall:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   Vechea valoare:
   • "EnableFirewall"=%setarile utilizatorului%
   Noua valoare:
   • "EnableFirewall"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   Vechea valoare:
   • "AUOptions"=%setarile utilizatorului%
   Noua valoare:
   • "AUOptions"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Vechea valoare:
   • "restrictanonymous"=%setarile utilizatorului%
   Noua valoare:
   • "restrictanonymous"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   Vechea valoare:
   • "AutoShareWks"=%setarile utilizatorului%
   • "AutoShareServer"=%setarile utilizatorului%
   Noua valoare:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Ole
   Vechea valoare:
   • "EnableDCOM"=%setarile utilizatorului%
   Noua valoare:
   • "EnableDCOM"="N"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • IPC$
   • ADMIN$
–Utilizatori si parole inregistrate.

– Lista de utilizatori si parole:
   • admin; root; server; asdfgh; asdf; !@; $%^&; !@; $%^; !@; $%; !@; $;
      654321; 123456; 12345; 1234; 123; 111; administrator



Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: mygod.doctor**********
Port: 5190
Parola serverului: FBISUCK
Canal: #n
Nick: [P00|USA|%sir de 5 caractere aleatoare%]
Parola: FBISUCK



– Acest malware poate obtine si trimite urmatoarele informatii:
    • Informatii despre procesele sistemului


– In plus, poate efectua urmatoarele operatii:
    • dezactivarea partajarii de resurse in retea
    • descarcare fisier
    • activarea partajarii de resurse in retea
    • executarea unui fisier
    • terminare proces
    • executare atac DDoS
    • Scaneaza reteaua
    • Se actualizeaza singur

 Terminarea proceselor  Lista cu serviciile dezactivate:
   • Security Center
   • Telnet
   • Remote Registry
   • Messenger

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • dxuijpeae

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Irina Boldea el viernes 14 de abril de 2006
Descripción actualizada por Irina Boldea el viernes 14 de abril de 2006

Volver . . . .