Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/SdBot.38400.21
La date de la dcouverte:14/07/2005
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:38.400 Octets
Somme de contrle MD5:4a31bef1e822492e42b789ab4400f387
Version VDF:6.31.00.208

 Gnral Mthode de propagation:
   • Le rseau local


Les alias:
   •  Symantec: W32.IRCBot
   •  Kaspersky: Backdoor.Win32.SdBot.abf
   •  TrendMicro: WORM_SDBOT.BRP
   •  Sophos: W32/Sdbot-Fam
   •  Grisoft: IRC/BackDoor.SdBot.DWM
   •  VirusBuster: Worm.SdBot.BAI
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.SDBot.ABF


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\%chane de caractres alatoire de sept digits%.exe



Il supprime sa propre copie, excute initialement

 Registre Les cls de registre suivantes sont ajoutes afin d'excuter des processus aprs le redmarrage:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "duweculey"="%chane de caractres alatoire de sept digits%.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "duweculey"="%chane de caractres alatoire de sept digits%.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "duweculey"="%chane de caractres alatoire de sept digits%.exe"

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.

Il s'autocopie dans les partages rseau suivants:
   • IPC$
   • C$\Documents and Settings\All Users\Documents\
   • C$\shared
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\


Il emploie les informations d'identification suivantes afin de gagner accs la machine distante:

Une liste de noms d'utilisateurs et de mots de passe:
   • 123qwe123; zaqxsw; zaq123; motdepass; fuckyou; billgate; billgates;
      fred; bill; intranet; staff; teacher; student1; student; user1; afro;
      turnip; glen; freddy; internet; lan; nokia; ctx; 666; qweasdzxc;
      zxcvbnm; 123qaz; 123qwe; qwe123; qazwsx; qweasd; zxc123; pass1234;
      pwd; pass; passwd; admin; administrador; administrateur; administrator



Excution distance:
Il essaye de programmer une excution distance du malware, sur la machine nouvellement infecte. Par consquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: core-01.gw-fw.**********
Port: 9000
Canal: #aa
Pseudonyme: J%chane de caractres alatoire de cinq digits%


 Ensuite il a la capacit d'oprer des actions tel que:
     Lancer des attaques DDoS SYN
    • Tlcharger un fichier
    • Excuter un fichier
     Scanner le rseau
     Se mettre jour tout seul

 Informations divers Mutex:
Il cre le Mutex suivant:
   • savum

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Irina Boldea le jeudi 11 mai 2006
Description mise à jour par Irina Boldea le jeudi 11 mai 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.