Nume:Worm/Agobot.100864
Descoperit pe data de:27/09/2004
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:100.864 Bytes
MD5:defc586fbd422d466a6bab7dfec48517
Versiune VDF:6.27.00.74

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Symantec: W32.HLLW.Gaobot
   •  TrendMicro: WORM_SDBOT.CHH
   •  Sophos: Exp/MS05039-A
   •  Grisoft: IRC/BackDoor.SdBot.LNF
   •  VirusBuster: Worm.SdBot.BIY
   •  Eset: Win32/TrojanDropper.ErPack
   •  Bitdefender: Backdoor.SDBot.DEB


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\svchosts32.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ScHost"="svchosts32.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "ScHost"="svchosts32.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
   • "DisableSR"="1"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "DisableSR"="1"

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
   • "NoAutoUpdate"="1"
   • "AUOptions"="1"

– HKCU\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
   • "NoAutoUpdate"="1"
   • "AUOptions"="1"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   • "AUOptions"="1"



Urmatoarele chei din registri sunt modificate:

– HKLM\SOFTWARE\Microsoft\Security Center
   Vechea valoare:
   • "FirewallDisableNotify"=%setarile utilizatorului%
   • "UpdatesDisableNotify"=%setarile utilizatorului%
   • "AntiVirusDisableNotify"=%setarile utilizatorului%
   Noua valoare:
   • "FirewallDisableNotify"="1"
   • "UpdatesDisableNotify"="1"
   • "AntiVirusDisableNotify"="1"

– HKCU\Software\Microsoft\Security Center
   Vechea valoare:
   • "FirewallDisableNotify"=%setarile utilizatorului%
   • "UpdatesDisableNotify"=%setarile utilizatorului%
   • "AntiVirusDisableNotify"=%setarile utilizatorului%
   Noua valoare:
   • "FirewallDisableNotify"="1"
   • "UpdatesDisableNotify"="1"
   • "AntiVirusDisableNotify"="1"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Vechea valoare:
   • "restrictanonymous"=%setarile utilizatorului%
   Noua valoare:
   • "restrictanonymous"="0"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • admin$
   • ipc$
   • d$
   • c$


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: panspn.mast**********
Port: 6667
Parola serverului: killer
Canal: #panspn
Nick: pa|%sir de 6 caractere aleatoare%
Parola: abcnet



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • Cantitatea de memorie
    • Utilizator
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS TCP
    • Lanseaza atacuri DDoS UDP
    • dezactivarea partajarii de resurse in retea
    • deconectare server IRC
    • descarcare fisier
    • editare registru sistem
    • activarea partajarii de resurse in retea
    • executarea unui fisier
    • intrare pe canal IRC
    • parasire canal IRC
    • executare atac DDoS
    • Scaneaza reteaua
    • redirectionare porturi
    • Porneste rutina de raspandire
    • Se actualizeaza singur
    • Face upload la un fisier
    • Vizitarea unui website

 Backdoor Deschide portul

– %SYSDIR%\svchosts32.exe port TCP aleator pentru a functiona ca un server proxy Socks 4,

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Irina Boldea le lundi 15 mai 2006
Description mise à jour par Irina Boldea le mardi 16 mai 2006

Retour . . . .