Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/SdBot.akv
La date de la dcouverte:17/11/2005
Type:Ver
En circulation:Non
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:76.800 Octets
Somme de contrle MD5:e4c3dcd460c2e4c898c65a59161c2d80
Version VDF:6.36.01.45
Version IVDF:6.36.01.48 - vendredi 17 novembre 2006

 Gnral Mthode de propagation:
   • Le rseau local


Les alias:
   •  Kaspersky: Backdoor.Win32.SdBot.avd
   •  TrendMicro: WORM_SDBOT.ALQ
   •  Sophos: W32/Tilebot-HH

Avant, il tait dtect comme:
     TR/Packed.CryptExe


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\lsyss.exe



Il supprime sa propre copie, excute initialement

 Registre Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

HKLM\SYSTEM\CurrentControlSet\Services\Windows Reg Service
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\lsyss.exe"
   • "DisplayName"="Windows Reg Service"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%hex value%
   • "Description"="Windows Reg Service"



Les valeurs des cls de registre suivantes sont supprimes:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "jda30"=%le fichier excut%

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   ProxyEnable
–  HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   ProxyServer
–  HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   ProxyOverride
–  HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   AutoConfigURL


Les cls de registre suivantes sont ajoute:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "jda30"=%le fichier excut%

HKLM\SYSTEM\CurrentControlSet\Services\Windows Reg Service\Security
   • "Security"=%hex value%

HKLM\SYSTEM\CurrentControlSet\Services\Windows Reg Service\Enum
   • "0"="Root\\LEGACY_WINDOWS_REG_SERVICE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_REG_SERVICE
   • "NextInstance"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_REG_SERVICE\
   0000
   • "Service"="Windows Reg Service"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Windows Reg Service"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_REG_SERVICE\
   0000\Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Windows Reg Service"

HKLM\SOFTWARE\Microsoft\Security Center
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   • "EnableFirewall"=dword:00000000

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
   • "EnableFirewall"=dword:00000000

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   • "AUOptions"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
   • "Start"=dword:00000004

HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   • "DoNotAllowXPSP2"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr
   • "Start"=dword:00000004

HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
   • "Start"=dword:00000004

HKLM\SYSTEM\CurrentControlSet\Services\Messenger
   • "Start"=dword:00000004



Les cls de registre suivantes sont changes:

HKLM\SYSTEM\CurrentControlSet\Control
   L'ancienne valeur:
   • "WaitToKillServiceTimeout"="2000"
   La nouvelle valeur:
   • "WaitToKillServiceTimeout"="7000"

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   L'ancienne valeur:
   • "restrictanonymous"=dword:00000000
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001

HKLM\SOFTWARE\Microsoft\Ole
   L'ancienne valeur:
   • "EnableDCOM"="Y"
   La nouvelle valeur:
   • "EnableDCOM"="N"

 Infection du rseau La vulnrabilit:
Il se sert des vulnrabilits suivantes:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Le processus d'infection:
Il cre un script FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.


Excution distance:
Il essaye de programmer une excution distance du malware, sur la machine nouvellement infecte. Par consquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: x.realdot**********
Port: 8080
Le mot de passe du serveur: master
Canal: #4.
Pseudonyme: [P00|USA|%chane de caractres alatoire de cinq digits%]
Mot de passe: .....



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Le temps de fonctionnement du Malware
    • Information sur le rseau
    • Information sur des processus courants
    • Information sur le systme d'exploitation Windows


 Ensuite il a la capacit d'oprer des actions tel que:
    • Dsactiver les partages rseau
    • Tlcharger un fichier
    • diter le registre
    • Activer les partages rseau
    • Finir le processus
    • Ouvrir une ligne de commande distance
     Scanner le rseau
    • Arrter le systme
    • Terminer le Malware

 Arrt de processus: La liste des processus qui sont termins:
   • i11r54n4.exe; rate.exe; winsys.exe; irun4.exe; bbeagle.exe;
      d3dupdate.exe; teekids.exe; Penis32.exe; MSBLAST.exe;
      PandaAVEngine.exe; mscvb32.exe; ssate.exe; sysinfo.exe


 Dtails de fichier Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Bogdan Iliuta le vendredi 17 novembre 2006
Description mise à jour par Bogdan Iliuta le lundi 20 novembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.