Nom:Worm/Sdbot.39936.9
La date de la découverte:18/05/2006
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:39.936 Octets
Somme de contrôle MD5:05e9876a966f3d9ee124e649509b0Fd0
Version VDF:6.34.01.101
Version IVDF:6.34.01.103 - jeudi 18 mai 2006

 Général Méthodes de propagation:
   • Le réseau local
   • Mapped network drives


Les alias:
   •  Symantec: W32.Spybot.Worm
   •  TrendMicro: WORM_SDBOT.HM
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.SDBot.6A9913B0


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\win32host.exe

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\Win32Kernel
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\win32host.exe"
   • "DisplayName"="Win32 Kernel Update"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valeurs hexa%
   • "Description"="Win32 OS Update"



Les clés de registre suivantes sont ajoutée:

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   • "DoNotAllowXPSP2"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control
   • "WaitToKillServiceTimeout"="7000"



Les clés de registre suivantes sont changées:

– HKLM\SOFTWARE\Microsoft\Security Center
   L'ancienne valeur:
   • "AntiVirusDisableNotify"=dword:%réglages définis par l'utilisateur%
   • "FirewallDisableNotify"=dword:%réglages définis par l'utilisateur%
   • "UpdatesDisableNotify"=dword:%réglages définis par l'utilisateur%
   • "AntiVirusOverride"=dword:%réglages définis par l'utilisateur%
   • "FirewallOverride"=dword:%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   L'ancienne valeur:
   • "EnableFirewall"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableFirewall"=dword:00000000

– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
   L'ancienne valeur:
   • "EnableFirewall"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableFirewall"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   L'ancienne valeur:
   • "AUOptions"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AUOptions"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   L'ancienne valeur:
   • "restrictanonymous"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   L'ancienne valeur:
   • "AutoShareWks"=%réglages définis par l'utilisateur%
   • "AutoShareServer"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
   L'ancienne valeur:
   • "AutoShareWks"=%réglages définis par l'utilisateur%
   • "AutoShareServer"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Ole
   L'ancienne valeur:
   • "EnableDCOM"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableDCOM"="N"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • ADMIN$
   • IPC$
   • C$


La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.


Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: free.avupda**********
Port: 80
Canal: #pg
Pseudonyme: [P00|USA| %chaîne de caractères aléatoire de cinq digits%]
Mot de passe: d00l

Serveur: free.avupda**********
Port: 80
Canal: #pg
Pseudonyme: [P00|USA| %chaîne de caractères aléatoire de cinq digits%]
Mot de passe: d00l

Serveur: free.updateav**********
Port: 80
Canal: #pg
Pseudonyme: [P00|USA| %chaîne de caractères aléatoire de cinq digits%]
Mot de passe: d00l

Serveur: free.allavupdates.biz
Port: 80
Canal: #pg
Pseudonyme: [P00|USA| %chaîne de caractères aléatoire de cinq digits%]
Mot de passe: d00l



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Détails sur les pilots
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Information sur des processus courants
    • Taille de mémoire
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • Désactiver les partages réseau
    • Éditer le registre
    • Activer les partages réseau
    • Exécuter un fichier
    • Finir le processus
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Enregistrer un service
    • Arrêter le système
    • Démarrer une routine de propagation
    • Terminer un processus
    • Se mettre à jour tout seul

 Arrêt de processus:  La liste des services qui sont désactivés:
   • Security Center
   • Remote Registry
   • Messenger
   • Telnet

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Irina Boldea le mercredi 19 juillet 2006
Description mise à jour par Irina Boldea le mercredi 19 juillet 2006

Retour . . . .