Nom:Worm/Agobot.100864
La date de la découverte:27/09/2004
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:100.864 Octets
Somme de contrôle MD5:defc586fbd422d466a6bab7dfec48517
Version VDF:6.27.00.74

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: W32.HLLW.Gaobot
   •  TrendMicro: WORM_SDBOT.CHH
   •  Sophos: Exp/MS05039-A
   •  Grisoft: IRC/BackDoor.SdBot.LNF
   •  VirusBuster: Worm.SdBot.BIY
   •  Eset: Win32/TrojanDropper.ErPack
   •  Bitdefender: Backdoor.SDBot.DEB


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\svchosts32.exe

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ScHost"="svchosts32.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "ScHost"="svchosts32.exe"



Les clés de registre suivantes sont ajoutée:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
   • "DisableSR"="1"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "DisableSR"="1"

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
   • "NoAutoUpdate"="1"
   • "AUOptions"="1"

– HKCU\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
   • "NoAutoUpdate"="1"
   • "AUOptions"="1"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   • "AUOptions"="1"



Les clés de registre suivantes sont changées:

– HKLM\SOFTWARE\Microsoft\Security Center
   L'ancienne valeur:
   • "FirewallDisableNotify"=%réglages définis par l'utilisateur%
   • "UpdatesDisableNotify"=%réglages définis par l'utilisateur%
   • "AntiVirusDisableNotify"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "FirewallDisableNotify"="1"
   • "UpdatesDisableNotify"="1"
   • "AntiVirusDisableNotify"="1"

– HKCU\Software\Microsoft\Security Center
   L'ancienne valeur:
   • "FirewallDisableNotify"=%réglages définis par l'utilisateur%
   • "UpdatesDisableNotify"=%réglages définis par l'utilisateur%
   • "AntiVirusDisableNotify"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "FirewallDisableNotify"="1"
   • "UpdatesDisableNotify"="1"
   • "AntiVirusDisableNotify"="1"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   L'ancienne valeur:
   • "restrictanonymous"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymous"="0"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • admin$
   • ipc$
   • d$
   • c$


La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: panspn.mast**********
Port: 6667
Le mot de passe du serveur: killer
Canal: #panspn
Pseudonyme: pa|%chaîne de caractères aléatoire de six digits%
Mot de passe: abcnet



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Taille de mémoire
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS TCP
    • Lance des attaques DDoS UDP
    • Désactiver les partages réseau
    • se déconnecter du serveur IRC
    • Télécharger un fichier
    • Éditer le registre
    • Activer les partages réseau
    • Exécuter un fichier
    • Joindre le canal IRC
    • Quitter la canal IRC
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Opérer la redirection d'un certain port
    • Démarrer une routine de propagation
    • Se mettre à jour tout seul
    • Charger un fichier
    • Visiter un site web

 Porte dérobée Le port suivant est ouvert:

%SYSDIR%\svchosts32.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy Sock 4.

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Irina Boldea le lundi 15 mai 2006
Description mise à jour par Irina Boldea le mardi 16 mai 2006

Retour . . . .