Nom:Worm/Sdbot.39936.13
La date de la découverte:12/08/2006
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:39.936 Octets
Somme de contrôle MD5:EDECDE54249650429D8BDFD1DB6B3B27
Version VDF:6.35.01.84 - samedi 12 août 2006
Version IVDF:6.35.01.84 - samedi 12 août 2006

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: W32.Spybot.Worm
   •  Sophos: W32/Sdbot-BND
   •  VirusBuster: Worm.SdBot.CQJ
   •  Eset: IRC/SdBot


Plateformes / Systèmes d'exploitation:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\svchostwin32

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\SVCWin32Update]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%WINDIR%\svchostwin32
   • "DisplayName"="Win32 Network Update"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:%valeurs hexa%
   • "Description"="SVCWin32 Update"

– [HKLM\SYSTEM\CurrentControlSet\Services\SVCWin32Update\Enum]
   • "0"="Root\\LEGACY_SVCWIN32UPDATE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\SVCWin32Update\Security]
   • "Security"=hex:%valeurs hexa%



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   L'ancienne valeur:
   • "AUOptions"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AUOptions"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
   L'ancienne valeur:
   • "EnableFirewall"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableFirewall"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
   L'ancienne valeur:
   • "EnableFirewall"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableFirewall"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Security Center]
   L'ancienne valeur:
   • "UpdatesDisableNotify"=%réglages définis par l'utilisateur%
   • "AntiVirusDisableNotify"=%réglages définis par l'utilisateur%
   • "FirewallDisableNotify"=%réglages définis par l'utilisateur%
   • "AntiVirusOverride"=%réglages définis par l'utilisateur%
   • "FirewallOverride"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   L'ancienne valeur:
   • "restrictanonymous"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   L'ancienne valeur:
   • "AutoShareWks"=%réglages définis par l'utilisateur%
   • "AutoShareServer"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\
   parameters]
   L'ancienne valeur:
   • "AutoShareWks"=%réglages définis par l'utilisateur%
   • "AutoShareServer"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
   L'ancienne valeur:
   • "DoNotAllowXPSP2"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DoNotAllowXPSP2"=dword:00000001

– [HKLM\Software\Microsoft\OLE]
   L'ancienne valeur:
   • "EnableDCOM"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control]
   L'ancienne valeur:
   • "WaitToKillServiceTimeout"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "WaitToKillServiceTimeout"="7000"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • C$
   • ADMIN$
   • IPC$
   • %tous les dossiers partagés%


La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


La création des adresses IP:
Il crée des adresses IP aléatoires et il essaye d'établir une connexion avec elles.


Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.
Le fichier téléchargé est stocké sur la machine compromise comme: %SYSDIR%\eraseme_%nombre%.exe


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: free.backendportal.**********
Port: 8080
Canal: #prom
Pseudonyme: [P00|USA|%chaîne de caractères aléatoire%]
Mot de passe: tru00

Serveur: win32.onlinewebportal.**********
Port: 8080
Canal: #prom
Pseudonyme: [P00|USA|%chaîne de caractères aléatoire%]
Mot de passe: tru00

Serveur: free.backendportal.**********
Port: 8080
Canal: #prom
Pseudonyme: [P00|USA|%chaîne de caractères aléatoire%]
Mot de passe: tru00

Serveur: free.avupdates.**********
Port: 8080
Canal: #prom
Pseudonyme: [P00|USA|%chaîne de caractères aléatoire%]
Mot de passe: tru00



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Information sur des processus courants


– Ensuite il a la capacité d'opérer des actions tel que:
    • Désactiver les partages réseau
    • Télécharger un fichier
    • Activer les partages réseau
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Scanner le réseau
    • Arrêter le système
    • Démarrer une routine de propagation
    • Se mettre à jour tout seul

 Arrêt de processus:  La liste des services qui sont désactivés:
   • Windows Firewall/ICS
   • Security Center
   • Messenger
   • Remote Registry
   • Telnet

 Informations divers Mutex:
Il crée le Mutex suivant:
   • Multiply NetAssets


Anti debugging
Il vérifie si le programme suivant est en exécution:
   • SoftIce


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Iulia Diaconescu le mercredi 25 octobre 2006
Description mise à jour par Iulia Diaconescu le lundi 6 novembre 2006

Retour . . . .