Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/SdBot.120320.15
La date de la découverte:13/12/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:120.320 Octets
Somme de contrôle MD5:f75688832446da31da4e043a466f6ad5
Version VDF:6.33.00.21

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: W32.Spybot.Worm
   •  Kaspersky: Backdoor.Win32.SdBot.aid
   •  TrendMicro: WORM_SDBOT.DGF
   •  F-Secure: Backdoor.Win32.SdBot.aid
   •  Sophos: W32/Sdbot-AFU
   •  Panda: W32/Gaobot.LUL.worm
   •  VirusBuster: Worm.SdBot.BPG
   •  Bitdefender: Backdoor.SDBot.3D536D1F


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\compaq.exe
   • C:\funny pic.scr
   • C:\photo album.scr
   • C:\eminem vs 2pac.scr



Il supprime sa propre copie, exécutée initialement

 Registre Les clés suivantes sont en permanence ajoutées aux registres, dans une boucle infinie, afin de lancer les processus après le redémarrage.

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Compaq Service Drivers"="compaq.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "Compaq Service Drivers"="compaq.exe"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Compaq Service Drivers"="compaq.exe"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
   • "Compaq Service Drivers"="compaq.exe"



Les clés de registre suivantes sont ajoutée:

– HKCR\.key
   • @="regfile"

– HKLM\SOFTWARE\Microsoft\Ole
   • "Compaq Service Drivers"="compaq.exe"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   • "Compaq Service Drivers"="compaq.exe"

– HKCU\Software\Microsoft\OLE
   • "Compaq Service Drivers"="compaq.exe"

– HKCU\SYSTEM\CurrentControlSet\Control\Lsa
   • "Compaq Service Drivers"="compaq.exe"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS04-007 (ASN.1 Vulnerability)


Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: seduce.dea**********
Port: 6667
Canal: #.sdbot.#
Pseudonyme: [F]USA|%nombre%
Mot de passe: priv8



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Détails sur les pilots
    • Espace libre sur le disque dur
    • Mémoire libre
    • Information sur le réseau
    • Information sur des processus courants
    • Taille de mémoire
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS SYN
    • Désactiver les partages réseau
    • Télécharger un fichier
    • Activer les partages réseau
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Scanner le réseau
    • Terminer un processus
    • Se mettre à jour tout seul

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Irina Boldea le lundi 17 avril 2006
Description mise à jour par Irina Boldea le lundi 17 avril 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.