Nume:Worm/SdBot.41984.42
Descoperit pe data de:07/08/2007
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:41.984 Bytes
MD5:8f8b66e936ba101efc6e3cb5d1dec814
Versiune IVDF:6.39.00.219 - martes 7 de agosto de 2007

 General Metoda de raspandire:
   • Messenger


Alias:
   •  Mcafee: W32/Checkout
   •  Kaspersky: Backdoor.Win32.SdBot.aad
   •  F-Secure: Backdoor.Win32.SdBot.aad
   •  Sophos: W32/Imagine-A
   •  Panda: W32/MSNPoopy.A.worm
   •  Grisoft: IRC-Worm/Delf.CF
   •  Eset: Win32/IRCBot.XZ
   •  Bitdefender: Backdoor.Sdbot.AUX


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Creeaza fisiere
   • Reduce setarile de securitate
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\svchost.exe



Se copiaza intr-o arhiva in urmatoarea locatie:
   • %WINDIR%\img1756.zip



Sterge urmatorul fisier:
   • C:\a.bat



Este creat fisierul:

– C:\a.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.



Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • %SYSDIR%\net.exe
cu urmatorii parametri: stop "Security Center"


– Numele fisierului:
   • %SYSDIR%\net.exe
cu urmatorii parametri: stop winvnc4


– Numele fisierului:
   • %SYSDIR%\net1.exe
cu urmatorii parametri: stop "Security Center"


– Numele fisierului:
   • %SYSDIR%\net1.exe
cu urmatorii parametri: stop winvnc4

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Genuine Logon"="svchost.exe"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Windows Live Messenger


Mesaj
Mesajul transmis arata ca unul din urmatoarele:

   • look @ my cute new puppy :-D

   • look @ this picture of me, when I was a kid

   • I just took this picture with my webcam, like it?

   • check it, i shaved my head

   • have u seen my new hair?

   • what the fuck, did you see this?

   • hey man, did you take this picture?


Raspandire prin fisier
Trimite un fisier cu urmatorul nume:
   • img1756.zip

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: vpn.basecore.**********
Port: 1863
Parola serverului: letmein
Canal: #VPN#
Nick: %combinatie de caractere aleatoare%
Parola: torrent



– Acest malware poate obtine si trimite urmatoarele informatii:
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • deconectare server IRC
    • descarcare fisier
    • executarea unui fisier
    • terminare proces
    • repornirea sistemului
    • Porneste rutina de raspandire
    • Se actualizeaza singur

 Terminarea proceselor  Lista cu serviciile dezactivate:
   • Security Center
   • winvnc4

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • JFangaY

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Adriana Popa el viernes 9 de noviembre de 2007
Descripción actualizada por Adriana Popa el viernes 9 de noviembre de 2007

Volver . . . .