Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/SdBot.34709
La date de la dcouverte:29/11/2005
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:34.709 Octets
Somme de contrle MD5:3d6bd481eb390817f5599465dffc7986
Version VDF:6.32.00.234

 Gnral Mthode de propagation:
   • Le rseau local


Les alias:
   •  Symantec: W32.Randex
   •  TrendMicro: WORM_SDBOT.CKX
   •  Sophos: W32/Sdbot-Fam
   •  Panda: W32/Sdbot.FTB.worm
   •  VirusBuster: Worm.SdBot.BPA
   •  Bitdefender: Backdoor.SDBot.7897B21C


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\richword.exe

 Registre Les cls de registre suivantes sont ajoutes afin d'excuter des processus aprs le redmarrage:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Alleria" = "richword.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "Alleria" = "richword.exe"

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Alleria" = "richword.exe"

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.

Il s'autocopie dans les partages rseau suivants:
   • IPC$
   • C$\Documents and Settings\All Users\Documents\
   • C$\shared
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\


Il emploie les informations d'identification suivantes afin de gagner accs la machine distante:

Une liste de noms d'utilisateurs et de mots de passe:
   • oeminstall; staff; teacher; student1; student; afro; turnip; glen;
      freddy; fred; bill; intranet; lan; nokia; ctx; headoffice; main;
      userpassword; capitol; winpass; blank; office; mass; control; pink;
      yellow; siemens; compaq; dell; cisco; sqlpass; sql; db1234; db1;
      databasepassword; data; databasepass; dbpassword; dbpass; access;
      database; domainpassword; domainpass; domain; orange; heaven; fish;
      hell; god; sex; fuck; exchnge; exchange; backup; technical; sage; owa;
      loginpass; login; katie; kate; bruce; barbara; sam; ron; luke; peter;
      john; mike; qwe; zxc; asd; qaz; win2000; winnt; winxp; win2k; win98;
      windows; oemuser; oem; user1; user; homeuser; home; accounting;
      accounts; internet; www; web; default; changeme; none; guest; test;
      007; 121; adm; admin; administrateur; administrator; pass1234;
      password1; pwd; pass; passwd; password


 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: comto.my**********
Port: 5570
Canal: #sk
Pseudonyme: %chane de caractres alatoire de huit digits%


 Ensuite il a l'habilit d'oprer l'action suivante:
     Lancer des attaques DDoS SYN
    • Tlcharger un fichier
    • Excuter un fichier
     Se mettre jour tout seul

 Informations divers Mutex:
Il cre le Mutex suivant:
   • swapme

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • MEW

Description insérée par Irina Boldea le mardi 11 avril 2006
Description mise à jour par Irina Boldea le mardi 11 avril 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.