Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/SdBot.208896.6
La date de la dcouverte:18/11/2005
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:208.896 Octets
Somme de contrle MD5:2AB4B169221714C52AAF14E48A8E09E3
Version VDF:6.32.00.192

 Gnral Mthode de propagation:
   • Le rseau local


Les alias:
   •  Symantec: W32.Spybot.Worm
   •  Kaspersky: Backdoor.Win32.SdBot.ain
   •  TrendMicro: WORM_RBOT.CUE
   •  Sophos: W32/Sdbot-AOL
   •  Grisoft: IRC/BackDoor.SdBot.OQE
   •  Eset: IRC/SdBot
   •  Bitdefender: Win32.Worm.Mybot.IP


Plateformes / Systmes d'exploitation:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrt les applications de scurit
   • Il cre un fichier malveillant
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il vole de l'information
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\gcxsrvc.exe



Il supprime sa propre copie, excute initialement



Le fichier suivant est cr:

%SYSDIR%\drivers\rofl.sys Ensuite, il est excut aprs avoir t completment cre. Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: BDS/Aimbot.AF.5

 Registre Les cls de registre suivantes sont ajoutes afin de charger les services aprs le redmarrage:

[HKLM\SYSTEM\CurrentControlSet\Services\GCX Service]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%WINDIR%\gcxsrvc.exe
   • "DisplayName"="GCX Service"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:%valeurs hexa%
   • "Description"="Provides Windows Access To Use The GCX Protocol"

[HKLM\SYSTEM\CurrentControlSet\Services\GCX Service\Enum]
   • "0"="Root\\LEGACY_SVCWIN32UPDATE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

[HKLM\SYSTEM\CurrentControlSet\Services\GCX Service\Security]
   • "Security"=hex:%valeurs hexa%

[HKLM\SYSTEM\CurrentControlSet\Services\rofl]
   • "Type"=dword:00000001
   • "Start"=dword:00000003
   • "ErrorControl"=dword:00000001
   • "ImagePath"=hex(2):%SYSDIR%\drivers\rofl.sys
   • "DisplayName"="rofl"

[HKLM\SYSTEM\CurrentControlSet\Services\rofl\Security]
   • "Security"=hex:%valeurs hexa%

[HKLM\SYSTEM\CurrentControlSet\Services\rofl\Enum]
   • "0"="Root\\LEGACY_ROFL\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



La valeur de la cl de registre suivante est supprime:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   • "MK"="%le dossier d'excution du malware%\%le fichier excut%"



La cl de registre suivante est ajoute:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   • "IT"="%la date courante%, %le temps courant%"
   • "RU"=%caractres-double-octet%
   • "MK"="%le dossier d'excution du malware%\%le fichier excut%"



Les cls de registre suivantes sont changes:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   L'ancienne valeur:
   • "AUOptions"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "AUOptions"=dword:00000001

[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
   L'ancienne valeur:
   • "EnableFirewall"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "EnableFirewall"=dword:00000000

[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
   L'ancienne valeur:
   • "EnableFirewall"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "EnableFirewall"=dword:00000000

[HKLM\SOFTWARE\Microsoft\Security Center]
   L'ancienne valeur:
   • "UpdatesDisableNotify"=%rglages dfinis par l'utilisateur%
   • "AntiVirusDisableNotify"=%rglages dfinis par l'utilisateur%
   • "FirewallDisableNotify"=%rglages dfinis par l'utilisateur%
   • "AntiVirusOverride"=%rglages dfinis par l'utilisateur%
   • "FirewallOverride"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

[HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   L'ancienne valeur:
   • "restrictanonymous"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001

[HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   L'ancienne valeur:
   • "AutoShareWks"=%rglages dfinis par l'utilisateur%
   • "AutoShareServer"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

[HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\
   parameters]
   L'ancienne valeur:
   • "AutoShareWks"=%rglages dfinis par l'utilisateur%
   • "AutoShareServer"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"dword:00000000

[HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
   L'ancienne valeur:
   • "DoNotAllowXPSP2"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "DoNotAllowXPSP2"=dword:00000001

[HKLM\Software\Microsoft\OLE]
   L'ancienne valeur:
   • "EnableDCOM"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "EnableDCOM"="N"

[HKLM\SYSTEM\CurrentControlSet\Control]
   L'ancienne valeur:
   • "WaitToKillServiceTimeout"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "WaitToKillServiceTimeout"="7000"

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.

Il s'autocopie dans les partages rseau suivants:
   • d$\windows\system32
   • d$\winnt\system32
   • c$\windows\system32
   • c$\winnt\system32
   • Admin$\system32
   • Admin$
   • IPC$
   • C$
   • %tous les dossiers partags%


Il emploie les informations d'identification suivantes afin de gagner accs la machine distante:

Une liste de noms d'utilisateurs et de mots de passe:
   • admin; root; server; asdfgh; asdf; !@; $%^&; !@; $%^; !@; $%; !@; $;
      654321; 123456; 12345; 1234; 123; 111; administrator



La vulnrabilit:
Il se sert des vulnrabilits suivantes:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Le processus d'infection:
Il cre un script FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.


Excution distance:
Il essaye de programmer une excution distance du malware, sur la machine nouvellement infecte. Par consquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: please.syn-flood.**********
Port: 7000
Le mot de passe du serveur: 95A55AF65B1D42616B4D6C5
Canal: #GCX
Pseudonyme: [%systme d'exploitation%|P|USA|%nombre%]
Mot de passe: 5B7BB38F4BDF71513DEE624



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
     Dtails sur les pilots
    • Espace libre sur le disque dur
    • Mmoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le rseau
    • Information sur des processus courants
    • Taille de mmoire


 Ensuite il a la capacit d'oprer des actions tel que:
     Lancer des attaques DDoS ICMP
     Lancer des attaques DDoS SYN
     Lance des attaques DDoS UDP
    • Dsactiver les partages rseau
    • Tlcharger un fichier
    • Activer les partages rseau
    • Excuter un fichier
    • Joindre le canal IRC
    • Finir le processus
     Scanner le rseau
    • Oprer la redirection d'un certain port
     Dmarrer une routine de propagation
     Se mettre jour tout seul

 Arrt de processus:  La liste des services qui sont dsactivs:
   • Windows Firewall/ICS
   • Security Center
   • Messenger
   • Remote Registry
   • Telnet

 Porte drobe Serveur de contact:
Un des suivants::
   • http://hpcgi1.nifty.com/mute/c/**********
   • http://www.age.ne.jp/x/maxwell/cgi-bin/**********
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/**********
   • http://cgi14.plala.or.jp/little_w/**********
   • http://yia.s22.xrea.com/**********
   • http://www.kinchan.net/cgi-bin/**********

Ceci est fait par l'intermdiaire de la requte HTTP GET du script CGI.

 Vol d'informations Il essaie de voler l'information suivante:
 Les mots de passe employs par la fonction AutoComplete
 Des informations sur le compte d'email, obtenues de la cl de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

Les mots de passe des programmes suivants:
   • MSN
   • Outlook Express
   • AOL Instant Messenger

 Informations divers  Il vrifie l'existence d'une connexion Internet en contactant le site web suivant:
   • http://windowsupdate.microsoft.com


Anti debugging
Il vrifie si le programme suivant est en excution:
   • SoftIce


 La technologie Rootkit C'est une technologie spcifique au malware. Le malware cache sa prsence aux utilitaires de systme, applications de scurit et la fin, l'utilisateur.


Il cache les suivants:
– Son propre processus

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • UPX

Description insérée par Iulia Diaconescu le jeudi 26 octobre 2006
Description mise à jour par Iulia Diaconescu le lundi 6 novembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.