Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/SdBot.64240
La date de la dcouverte:26/09/2005
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:64.240 Octets
Somme de contrle MD5:b307cb11cbc9f302a6668e87cbcb42f9
Version VDF:6.32.00.43

 Gnral Mthode de propagation:
   • Le rseau local


Les alias:
   •  Symantec: W32.Spybot.Worm
   •  Kaspersky: Backdoor.Win32.SdBot.afx
   •  TrendMicro: WORM_SDBOT.CKI
   •  Sophos: W32/Sdbot-ADP
   •  VirusBuster: Worm.SdBot.BIX
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.SDBot.AFX


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il diminue les rglages de scurit
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\spool.exe

 Registre Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

HKLM\SYSTEM\CurrentControlSet\Services\winspool32
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%WINDIR%\spool.exe
   • "DisplayName"="Windows Spooler"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valeurs hexa%
   • "Description"="Manages print jobs and keep documents in queue"



La cl de registre suivante est ajoute:

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   • "DoNotAllowXPSP2"=dword:00000001



Les cls de registre suivantes sont changes:

HKLM\SOFTWARE\Microsoft\Security Center
   L'ancienne valeur:
   • "AntiVirusDisableNotify"=%rglages dfinis par l'utilisateur%
   • "FirewallDisableNotify"=%rglages dfinis par l'utilisateur%
   • "UpdatesDisableNotify"=%rglages dfinis par l'utilisateur%
   • "AntiVirusOverride"=%rglages dfinis par l'utilisateur%
   • "FirewallOverride"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

Dsactive le Pare-feu du Windows:
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   L'ancienne valeur:
   • "EnableFirewall"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "EnableFirewall"=dword:00000000

Dsactive le Pare-feu du Windows:
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
   L'ancienne valeur:
   • "EnableFirewall"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "EnableFirewall"=dword:00000000

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   L'ancienne valeur:
   • "AUOptions"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "AUOptions"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   L'ancienne valeur:
   • "restrictanonymous"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   L'ancienne valeur:
   • "AutoShareWks"=%rglages dfinis par l'utilisateur%
   • "AutoShareServer"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
   L'ancienne valeur:
   • "AutoShareWks"=%rglages dfinis par l'utilisateur%
   • "AutoShareServer"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

HKLM\SOFTWARE\Microsoft\Ole
   L'ancienne valeur:
   • "EnableDCOM"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "EnableDCOM"="N"

HKLM\SYSTEM\CurrentControlSet\Control
   L'ancienne valeur:
   • "WaitToKillServiceTimeout"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "WaitToKillServiceTimeout"="7000"

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.

Il s'autocopie dans les partages rseau suivants:
   • Z$
   • Z$
   • Y$
   • X$
   • W$
   • V$
   • U$
   • T$
   • S$
   • R$
   • Q$
   • P$
   • O$
   • N$
   • M$
   • L$
   • K$
   • J$
   • I$
   • H$
   • G$
   • F$
   • E$
   • D$
   • C$
   • IPC$
   • ADMIN$


La vulnrabilit:
Il se sert de la vulnrabilit suivante:
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


La cration des adresses IP:
Il cre des adresses IP alatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Aprs il essaye d'tablir une connexion avec les adresses cres.


Le processus d'infection:
Il cre un script FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.


Excution distance:
Il essaye de programmer une excution distance du malware, sur la machine nouvellement infecte. Par consquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: ns2.cont**********
Port: 57
Canal: #4
Pseudonyme: [P00|USA|%chane de caractres alatoire de cinq digits%]
Mot de passe: r



 Ce Malware a l'habilit de ramasser et d'envoyer l'information suivante:
    • Information sur des processus courants


 Ensuite il a la capacit d'oprer des actions tel que:
    • Tlcharger un fichier
    • Excuter un fichier
    • Finir le processus
     Scanner le rseau
     Dmarrer une routine de propagation
     Se mettre jour tout seul

 Arrt de processus:  La liste des services qui sont dsactivs:
   • Security Center
   • Telnet
   • Remote Registry
   • Messenger

 Porte drobe Serveur de contact:
Tous les suivants:
   • http://hpcgi1.nifty.com/mute/c/**********
   • http://www.age.ne.jp/x/maxwell/cgi-bin/**********
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/**********
   • http://cgi14.plala.or.jp/little_w/**********
   • http://yia.s22.xrea.com/**********
   • http://www.kinchan.net/cgi-bin/**********


 Informations divers Mutex:
Il cre le Mutex suivant:
   • bish u sux

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Irina Boldea le jeudi 9 mars 2006
Description mise à jour par Irina Boldea le mardi 14 mars 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.