Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/SdBot.64512.25
La date de la dcouverte:24/03/2006
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:63.488 Octets
Somme de contrle MD5:D8A64BA6A689014C85A43402453E3394
Version VDF:6.34.00.91 - vendredi 24 mars 2006
Version IVDF:6.34.00.91 - vendredi 24 mars 2006

 Gnral Mthodes de propagation:
   • Le rseau local
    Programme de messagerie


Les alias:
   •  Symantec: W32.Spybot.Worm
   •  Kaspersky: Backdoor.Win32.SdBot.afg
   •  TrendMicro: WORM_SDBOT.DXL
   •  Sophos: W32/Sdbot-BND
   •  VirusBuster: Worm.SdBot.BWH
   •  Eset: Win32/Rbot


Plateformes / Systmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il vole de l'information
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\hp-1003.exe



Il supprime sa propre copie, excute initialement

 Registre Les cls de registre suivantes sont ajoutes afin d'excuter des processus aprs le redmarrage:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "File Mapping Services"="hp-1003.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "File Mapping Services"="hp-1003.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "File Mapping Services"="hp-1003.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "File Mapping Services"="hp-1003.exe"



Les cls de registre suivantes sont ajoute:

[HKLM\Software\Microsoft\OLE]
   • "File Mapping Services"="hp-1003.exe"

[HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "File Mapping Services"="hp-1003.exe"

[HKCU\Software\Microsoft\OLE]
   • "File Mapping Services"="hp-1003.exe"

[HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "File Mapping Services"="hp-1003.exe"

 Programme de messagerie Il se rpand par l'intermdiaire du programme de messagerie. Les caractristiques sont dcrites ci-dessous:

 AIM Messenger

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.

Il s'autocopie dans les partages rseau suivants:
   • admin$
   • Admin$\system32
   • ipc$
   • c$


La vulnrabilit:
Il se sert des vulnrabilits suivantes:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


La cration des adresses IP:
Il cre des adresses IP alatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Aprs il essaye d'tablir une connexion avec les adresses cres.


Le processus d'infection:
Cre un script TFTP ou FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.


Excution distance:
Il essaye de programmer une excution distance du malware, sur la machine nouvellement infecte. Par consquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le systme et d'accs distance, il se connecte aux serveurs IRC suivants:

Serveur: backup.daw00dbhai.**********
Port: 8585
Canal: #back
Pseudonyme: %chane de caractres alatoire%

Serveur: backup.d0d0n0.**********
Port: 8585
Canal: #back
Pseudonyme: %chane de caractres alatoire%



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
     Dtails sur les pilots
    • Espace libre sur le disque dur
    • Mmoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le rseau
    • L'ID de la plateforme
    • Information sur des processus courants
    • Taille de mmoire
    • Nom d'utilisateur


 Ensuite il a la capacit d'oprer des actions tel que:
     se connecter au serveur IRC
     Lancer des attaques DDoS ICMP
     Lancer des attaques DDoS SYN
    • Dsactiver DCOM
    • Dsactiver les partages rseau
     se dconnecter du serveur IRC
    • Tlcharger un fichier
    • Activer DCOM
    • Activer les partages rseau
    • Excuter un fichier
    • Finir le processus
    • Ouvrir une ligne de commande distance
     Scanner le rseau
     Dmarrer une routine de propagation
    • Terminer le Malware
     Se mettre jour tout seul
    • Charger un fichier

 Vol d'informations Il essaie de voler l'information suivante:
 Les mots de passe employs par la fonction AutoComplete

Le mot de passe du programme suivant:
   • MSN

 Informations divers Mutex:
Il cre le Mutex suivant:
   • trinkel

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • UPX

Description insérée par Iulia Diaconescu le vendredi 20 octobre 2006
Description mise à jour par Iulia Diaconescu le mardi 24 octobre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.