Nume:Worm/Sdbot.41906
Descoperit pe data de:13/09/2006
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:41.906 Bytes
MD5:1985be77497205b2b3575f6fb194baed
Versiune VDF:6.35.01.217
Versiune IVDF:6.35.01.221

 General Metode de raspandire:
   • Reteaua locala
   • Messenger


Alias:
   •  Kaspersky: Backdoor.Win32.SdBot.aad
   •  F-Secure: Backdoor.Win32.SdBot.aad
   •  Bitdefender: Backdoor.SDBot.10246257


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\csrv.exe



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– HKLM\SYSTEM\CurrentControlSet\Services\Sniff Managmnet Service
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\csrv.exe"
   • "DisplayName"="Sniff Managmnet Service"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valori hex%
   • "Description"="Sniff Managmnet Service"

– HKLM\SYSTEM\CurrentControlSet\Services\Sniff Managmnet Service\Enum
   • "0"="Root\LEGACY_SNIFF_MANAGMNET_SERVICE\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\Sniff Managmnet Service\
   Security
   • "Security"=%valori hex%



Urmatoarele chei sunt adaugate in registrii sistemului:

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   • "DoNotAllowXPSP2"=dword:00000001



Urmatoarele chei din registri sunt modificate:

– HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent
   Vechea valoare:
   • "(default)"=dword:0000000d
   Noua valoare:
   • "(default)"=dword:0000000e

– HKLM\SYSTEM\CurrentControlSet\Control
   Vechea valoare:
   • "WaitToKillServiceTimeout"="20000"
   Noua valoare:
   • "WaitToKillServiceTimeout"="7000"

– HKLM\SOFTWARE\Microsoft\Security Center
   Vechea valoare:
   • "UpdatesDisableNotify"=%setarile utilizatorului%
   • "AntiVirusDisableNotify"=%setarile utilizatorului%
   • "FirewallDisableNotify"=%setarile utilizatorului%
   • "AntiVirusOverride"=%setarile utilizatorului%
   • "FirewallOverride"=%setarile utilizatorului%
   Noua valoare:
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

Dezactiveaza Windows Firewall:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   Noua valoare:
   • "EnableFirewall"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   Vechea valoare:
   • "AUOptions"=%setarile utilizatorului%
   Noua valoare:
   • "AUOptions"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
   Vechea valoare:
   • "Start"=dword:00000002
   Noua valoare:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr
   Vechea valoare:
   • "Start"=dword:00000003
   Noua valoare:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
   Vechea valoare:
   • "Start"=dword:00000002
   Noua valoare:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\Messenger
   Vechea valoare:
   • "Start"=dword:00000002
   Noua valoare:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Vechea valoare:
   • "restrictanonymous"=dword:00000000
   Noua valoare:
   • "restrictanonymous"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Ole
   Vechea valoare:
   • "EnableDCOM"="Y"
   Noua valoare:
   • "EnableDCOM"="N"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– AIM Messenger

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • IPC$
   • ADMIN$


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Procesul de infectare:
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: ircstyle**********
Port: 6667
Parola serverului: nadjoe
Canal: #yourzniff
Nick: [P00|USA|%numar%]
Parola: x



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Utilizatorul curent
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • Informatii despre procesele sistemului
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • dezactivare DCOM
    • deconectare server IRC
    • descarcare fisier
    • editare registru sistem
    • activare DCOM
    • executarea unui fisier
    • intrare pe canal IRC
    • terminare proces
    • parasire canal IRC
    • deschidere consola
    • executare atac DDoS
    • Scaneaza reteaua
    • Inregistreaza un serviciu
    • oprierea sistemului
    • Porneste rutina de raspandire
    • Se actualizeaza singur

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • ^M˜A

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Teodor Onisor el viernes 22 de septiembre de 2006
Descripción actualizada por Teodor Onisor el lunes 25 de septiembre de 2006

Volver . . . .