Nume:Worm/SdBot.138752.8
Descoperit pe data de:20/08/2007
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:138.752 Bytes
MD5:5101877e880Eae72419d17cef84ee9b9
Versiune IVDF:6.39.01.22 - lunes 20 de agosto de 2007

 General Metoda de raspandire:
   • Messenger


Alias:
   •  Mcafee: W32/Sdbot.worm
   •  Kaspersky: Backdoor.Win32.SdBot.blt
   •  Eset: Win32/IRCBot.YW


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Creeaza fisiere
   • Reduce setarile de securitate
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\winsyshp.exe



Se copiaza intr-o arhiva in urmatoarea locatie:
   • %WINDIR%\img317.zip



Sterge urmatorul fisier:
   • C:\a.bat



Este creat fisierul:

– C:\a.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.



Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • %SYSDIR%\net.exe
cu urmatorii parametri: stop "Security Center"


– Numele fisierului:
   • %SYSDIR%\net.exe
cu urmatorii parametri: stop winvnc4


– Numele fisierului:
   • %SYSDIR%\net1.exe
cu urmatorii parametri: stop "Security Center"


– Numele fisierului:
   • %SYSDIR%\net1.exe
cu urmatorii parametri: stop winvnc4

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Visual Application"="winsyshp.exe"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Windows Live Messenger


Mesaj
Mesajul transmis arata ca unul din urmatoarele:

   • Why is this picture blurry?

   • Look @ my new car?

   • Where did you find this picture?

   • why did you show me this picture?

   • look at my baby picture

   • Did you see this?

   • Where is this picture taken?

   • Did you take this picture?

   • you drunk 2 much in this picture

   • Why are you naked in this picture?

   • look @ this

   • accept this picture

   • hey, mom my just told me 2 show this 2 you


Raspandire prin fisier
Trimite un fisier cu urmatorul nume:
   • img317.zip

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: pwn.basecore.**********
Port: 1863
Parola serverului: letmein
Canal: #PWN#
Nick: %combinatie de caractere aleatoare%
Parola: torrent



– Acest malware poate obtine si trimite urmatoarele informatii:
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • deconectare server IRC
    • descarcare fisier
    • executarea unui fisier
    • terminare proces
    • repornirea sistemului
    • Porneste rutina de raspandire
    • Se actualizeaza singur

 Terminarea proceselor  Lista cu serviciile dezactivate:
   • Security Center
   • winvnc4

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • fjasdf

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Adriana Popa el viernes 9 de noviembre de 2007
Descripción actualizada por Adriana Popa el viernes 9 de noviembre de 2007

Volver . . . .