Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/SdBot.120320.15
La date de la dcouverte:13/12/2005
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:120.320 Octets
Somme de contrle MD5:f75688832446da31da4e043a466f6ad5
Version VDF:6.33.00.21

 Gnral Mthode de propagation:
   • Le rseau local


Les alias:
   •  Symantec: W32.Spybot.Worm
   •  Kaspersky: Backdoor.Win32.SdBot.aid
   •  TrendMicro: WORM_SDBOT.DGF
   •  F-Secure: Backdoor.Win32.SdBot.aid
   •  Sophos: W32/Sdbot-AFU
   •  Panda: W32/Gaobot.LUL.worm
   •  VirusBuster: Worm.SdBot.BPG
   •  Bitdefender: Backdoor.SDBot.3D536D1F


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\compaq.exe
   • C:\funny pic.scr
   • C:\photo album.scr
   • C:\eminem vs 2pac.scr



Il supprime sa propre copie, excute initialement

 Registre Les cls suivantes sont en permanence ajoutes aux registres, dans une boucle infinie, afin de lancer les processus aprs le redmarrage.

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Compaq Service Drivers"="compaq.exe"

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "Compaq Service Drivers"="compaq.exe"

  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Compaq Service Drivers"="compaq.exe"

  HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
   • "Compaq Service Drivers"="compaq.exe"



Les cls de registre suivantes sont ajoute:

HKCR\.key
   • @="regfile"

HKLM\SOFTWARE\Microsoft\Ole
   • "Compaq Service Drivers"="compaq.exe"

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   • "Compaq Service Drivers"="compaq.exe"

HKCU\Software\Microsoft\OLE
   • "Compaq Service Drivers"="compaq.exe"

HKCU\SYSTEM\CurrentControlSet\Control\Lsa
   • "Compaq Service Drivers"="compaq.exe"

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.


La vulnrabilit:
Il se sert de la vulnrabilit suivante:
– MS04-007 (ASN.1 Vulnerability)


Le processus d'infection:
Il cre un script FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.


Excution distance:
Il essaye de programmer une excution distance du malware, sur la machine nouvellement infecte. Par consquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: seduce.dea**********
Port: 6667
Canal: #.sdbot.#
Pseudonyme: [F]USA|%nombre%
Mot de passe: priv8



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
     Dtails sur les pilots
    • Espace libre sur le disque dur
    • Mmoire libre
    • Information sur le rseau
    • Information sur des processus courants
    • Taille de mmoire
    • Nom d'utilisateur
    • Information sur le systme d'exploitation Windows


 Ensuite il a la capacit d'oprer des actions tel que:
     Lancer des attaques DDoS SYN
    • Dsactiver les partages rseau
    • Tlcharger un fichier
    • Activer les partages rseau
    • Excuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
     Scanner le rseau
    • Terminer un processus
     Se mettre jour tout seul

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Irina Boldea le lundi 17 avril 2006
Description mise à jour par Irina Boldea le lundi 17 avril 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.