Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/SdBot.aad.373
La date de la dcouverte:04/01/2006
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:65.024 Octets
Somme de contrle MD5:7eac026af1b7f20F52765af44e0926d8
Version VDF:6.33.00.96

 Gnral Mthodes de propagation:
   • Le rseau local
   • Mapped network drives


Les alias:
   •  Symantec: W32.Spybot.Worm
   •  TrendMicro: WORM_SDBOT.HM
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.SDBot.6A9913B0


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre un fichier malveillant
   • Il diminue les rglages de scurit
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\nvidGUIv.exe



Le fichier suivant est cr:

%SYSDIR%\remon.sys Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: Tr/Rootkit.Agent.AB

 Registre Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

[HKLM\SYSTEM\CurrentControlSet\Services\nvidGUIv2]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\nvidGUIv.exe"
   • "DisplayName"="nvidGUIv"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valeurs hexa%
   • "Description"="Manages Video devices for Windows-based "



Les cls de registre suivantes sont ajoute:

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   • "DoNotAllowXPSP2"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Control
   • "WaitToKillServiceTimeout"="7000"



Les cls de registre suivantes sont changes:

HKLM\SOFTWARE\Microsoft\Security Center
   L'ancienne valeur:
   • "AntiVirusDisableNotify"=dword:%rglages dfinis par l'utilisateur%
   • "FirewallDisableNotify"=dword:%rglages dfinis par l'utilisateur%
   • "UpdatesDisableNotify"=dword:%rglages dfinis par l'utilisateur%
   • "AntiVirusOverride"=dword:%rglages dfinis par l'utilisateur%
   • "FirewallOverride"=dword:%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   L'ancienne valeur:
   • "EnableFirewall"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "EnableFirewall"=dword:00000000

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
   L'ancienne valeur:
   • "EnableFirewall"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "EnableFirewall"=dword:00000000

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   L'ancienne valeur:
   • "AUOptions"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "AUOptions"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   L'ancienne valeur:
   • "restrictanonymous"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   L'ancienne valeur:
   • "AutoShareWks"=%rglages dfinis par l'utilisateur%
   • "AutoShareServer"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
   L'ancienne valeur:
   • "AutoShareWks"=%rglages dfinis par l'utilisateur%
   • "AutoShareServer"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

HKLM\SOFTWARE\Microsoft\Ole
   L'ancienne valeur:
   • "EnableDCOM"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "EnableDCOM"="N"

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.

Il s'autocopie dans les partages rseau suivants:
   • D$\Windows\System32
   • C$\Winnt\System32
   • ADMIN$\System32
   • ADMIN$
   • IPC$
   • C$


La vulnrabilit:
Il se sert des vulnrabilits suivantes:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


La cration des adresses IP:
Il cre des adresses IP alatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Aprs il essaye d'tablir une connexion avec les adresses cres.


Le processus d'infection:
Il cre un script FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.


Excution distance:
Il essaye de programmer une excution distance du malware, sur la machine nouvellement infecte. Par consquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le systme et d'accs distance, il se connecte aux serveurs IRC suivants:

Serveur: http.**********servers.net
Port: 5552
Canal: #vec
Pseudonyme: [P00|USA| %chane de caractres alatoire de cinq digits%]
Mot de passe: #vece

Serveur: http.**********0rder.com
Port: 6556
Canal: #vec
Pseudonyme: [P00|USA| %chane de caractres alatoire de cinq digits%]
Mot de passe: #vece



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
     Dtails sur les pilots
    • Espace libre sur le disque dur
    • Mmoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le rseau
    • Information sur des processus courants
    • Taille de mmoire
    • Nom d'utilisateur
    • Information sur le systme d'exploitation Windows


 Ensuite il a la capacit d'oprer des actions tel que:
     Lancer des attaques DDoS ICMP
     Lancer des attaques DDoS SYN
     Lance des attaques DDoS UDP
    • Dsactiver les partages rseau
    • Tlcharger un fichier
    • diter le registre
    • Activer les partages rseau
    • Excuter un fichier
    • Finir le processus
    • Oprer un attaque DDoS
     Scanner le rseau
     Enregistrer un service
    • Arrter le systme
     Dmarrer une routine de propagation
    • Terminer un processus
     Se mettre jour tout seul
    • Charger un fichier
     Visiter un site web

 Arrt de processus: Il essaye d'arrter le processus suivant et il supprime les fichiers correspondants:
   • i11r54n4.exe; rate.exe; winsys.exe; irun4.exe; bbeagle.exe;
      d3dupdate.exe; teekids.exe; Penis32.exe; MSBLAST.exe;
      PandaAVEngine.exe; taskmon.exe; mscvb32.exe; ssate.exe; sysinfo.exe


La liste des services qui sont dsactivs:
   • Security Center
   • Remote Registry
   • Messenger
   • Telnet

 Porte drobe Serveur de contact:
Tous les suivants:
   • http://hpcgi1.nifty.com/mute/c/**********
   • http://www.age.ne.jp/x/maxwell/cgi-bin/**********
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/**********
   • http://cgi14.plala.or.jp/little_w/**********
   • http://yia.s22.xrea.com/**********
   • http://www.kinchan.net/cgi-bin/**********

En consquence il peut envoyer de l'information. Ceci est fait par l'intermdiaire de la requte HTTP GET du script CGI.

 Informations divers Mutex:
Il cre le Mutex suivant:
   • Add3ZA1M

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Irina Boldea le mardi 26 septembre 2006
Description mise à jour par Irina Boldea le mercredi 11 octobre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.