Nom:Worm/Sdbot.41906
La date de la découverte:13/09/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:41.906 Octets
Somme de contrôle MD5:1985be77497205b2b3575f6fb194baed
Version VDF:6.35.01.217
Version IVDF:6.35.01.221

 Général Méthodes de propagation:
   • Le réseau local
   • Programme de messagerie


Les alias:
   •  Kaspersky: Backdoor.Win32.SdBot.aad
   •  F-Secure: Backdoor.Win32.SdBot.aad
   •  Bitdefender: Backdoor.SDBot.10246257


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\csrv.exe



Il supprime sa propre copie, exécutée initialement

 Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\Sniff Managmnet Service
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\csrv.exe"
   • "DisplayName"="Sniff Managmnet Service"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valeurs hexa%
   • "Description"="Sniff Managmnet Service"

– HKLM\SYSTEM\CurrentControlSet\Services\Sniff Managmnet Service\Enum
   • "0"="Root\LEGACY_SNIFF_MANAGMNET_SERVICE\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\Sniff Managmnet Service\
   Security
   • "Security"=%valeurs hexa%



Les clés de registre suivantes sont ajoutée:

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   • "DoNotAllowXPSP2"=dword:00000001



Les clés de registre suivantes sont changées:

– HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent
   L'ancienne valeur:
   • "(default)"=dword:0000000d
   La nouvelle valeur:
   • "(default)"=dword:0000000e

– HKLM\SYSTEM\CurrentControlSet\Control
   L'ancienne valeur:
   • "WaitToKillServiceTimeout"="20000"
   La nouvelle valeur:
   • "WaitToKillServiceTimeout"="7000"

– HKLM\SOFTWARE\Microsoft\Security Center
   L'ancienne valeur:
   • "UpdatesDisableNotify"=%réglages définis par l'utilisateur%
   • "AntiVirusDisableNotify"=%réglages définis par l'utilisateur%
   • "FirewallDisableNotify"=%réglages définis par l'utilisateur%
   • "AntiVirusOverride"=%réglages définis par l'utilisateur%
   • "FirewallOverride"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

Désactive le Pare-feu du Windows:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   La nouvelle valeur:
   • "EnableFirewall"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   L'ancienne valeur:
   • "AUOptions"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AUOptions"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
   L'ancienne valeur:
   • "Start"=dword:00000002
   La nouvelle valeur:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr
   L'ancienne valeur:
   • "Start"=dword:00000003
   La nouvelle valeur:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
   L'ancienne valeur:
   • "Start"=dword:00000002
   La nouvelle valeur:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\Messenger
   L'ancienne valeur:
   • "Start"=dword:00000002
   La nouvelle valeur:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   L'ancienne valeur:
   • "restrictanonymous"=dword:00000000
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Ole
   L'ancienne valeur:
   • "EnableDCOM"="Y"
   La nouvelle valeur:
   • "EnableDCOM"="N"

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– AIM Messenger

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • IPC$
   • ADMIN$


La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: ircstyle**********
Port: 6667
Le mot de passe du serveur: nadjoe
Canal: #yourzniff
Pseudonyme: [P00|USA|%nombre%]
Mot de passe: x



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Information sur des processus courants
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Désactiver DCOM
    • se déconnecter du serveur IRC
    • Télécharger un fichier
    • Éditer le registre
    • Activer DCOM
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande à distance
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Enregistrer un service
    • Arrêter le système
    • Démarrer une routine de propagation
    • Se mettre à jour tout seul

 Informations divers Mutex:
Il crée le Mutex suivant:
   • ^M˜A

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Teodor Onisor le vendredi 22 septembre 2006
Description mise à jour par Teodor Onisor le lundi 25 septembre 2006

Retour . . . .