Nom:Worm/SdBot.aad.324
La date de la découverte:12/12/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:45.568 Octets
Somme de contrôle MD5:79b81291d13147d8ed1b086b558bd06c
Version VDF:6.33.00.19

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: W32.Spybot.Worm
   •  Kaspersky: Backdoor.Win32.SdBot.aad
   •  TrendMicro: WORM_SDBOT.CTH
   •  F-Secure: Backdoor.Win32.SdBot.aad
   •  Sophos: W32/Tilebot-CF
   •  Panda: W32/Sdbot.FWB.worm
   •  VirusBuster: Worm.SdBot.BQG
   •  Bitdefender: Backdoor.SDBot.AJB


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\scvhost.exe



Il supprime sa propre copie, exécutée initialement

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\lsass
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\scvhost.exe"
   • "DisplayName"="Local Security Authority Subsystem Service"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valeurs hexa%
   • "Description"="Microsoft Path Finder Service Displays Internet Routing Paths."



La clé de registre suivante est ajoutée:

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   • "DoNotAllowXPSP2"=dword:00000001



Les clés de registre suivantes sont changées:

– HKLM\SYSTEM\CurrentControlSet\Control
   L'ancienne valeur:
   • "WaitToKillServiceTimeout"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "WaitToKillServiceTimeout"="7000"

– HKLM\SOFTWARE\Microsoft\Security Center
   L'ancienne valeur:
   • "UpdatesDisableNotify"=%réglages définis par l'utilisateur%
   • "AntiVirusDisableNotify"=%réglages définis par l'utilisateur%
   • "FirewallDisableNotify"=%réglages définis par l'utilisateur%
   • "AntiVirusOverride"=%réglages définis par l'utilisateur%
   • "FirewallOverride"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

Désactive le Pare-feu du Windows:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   L'ancienne valeur:
   • "EnableFirewall"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableFirewall"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   L'ancienne valeur:
   • "AUOptions"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AUOptions"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   L'ancienne valeur:
   • "restrictanonymous"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   L'ancienne valeur:
   • "AutoShareWks"=%réglages définis par l'utilisateur%
   • "AutoShareServer"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Ole
   L'ancienne valeur:
   • "EnableDCOM"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableDCOM"="N"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • IPC$
   • ADMIN$
–Les noms d'utilisateurs et les mots de passe en antémémoire.

– Une liste de noms d'utilisateurs et de mots de passe:
   • admin; root; server; asdfgh; asdf; !@; $%^&; !@; $%^; !@; $%; !@; $;
      654321; 123456; 12345; 1234; 123; 111; administrator



La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.


Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: mygod.doctor**********
Port: 5190
Le mot de passe du serveur: FBISUCK
Canal: #n
Pseudonyme: [P00|USA|%chaîne de caractères aléatoire de cinq digits%]
Mot de passe: FBISUCK



– Ce Malware a l'habilité de ramasser et d'envoyer l'information suivante:
    • Information sur des processus courants


– Ensuite il a la capacité d'opérer des actions tel que:
    • Désactiver les partages réseau
    • Télécharger un fichier
    • Activer les partages réseau
    • Exécuter un fichier
    • Finir le processus
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Se mettre à jour tout seul

 Arrêt de processus:  La liste des services qui sont désactivés:
   • Security Center
   • Telnet
   • Remote Registry
   • Messenger

 Informations divers Mutex:
Il crée le Mutex suivant:
   • dxuijpeae

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Irina Boldea le vendredi 14 avril 2006
Description mise à jour par Irina Boldea le vendredi 14 avril 2006

Retour . . . .