Nom:Worm/Sdbot.129024.27
La date de la découverte:30/11/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:129.024 Octets
Somme de contrôle MD5:f50ba23cf5bf5a3c0d65b28bdd346282
Version VDF:6.35.01.99
Version IVDF:6.35.01.100 - mercredi 16 août 2006

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Grisoft: IRC/BackDoor.SdBot2.GDM
   •  Eset: Win32/IRCBot.SW
   •  Bitdefender: Trojan.FirewallBypass


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il bloque l'accès aux certains sites web
   • Arrêt les applications de sécurité
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\shoutcast.exe



Il supprime sa propre copie, exécutée initialement

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "SHOUTCAST for Windows NT"="shoutcast.exe"



La clé suivante est en permanence ajoutée aux registres, dans une boucle infinie, afin de lancer le processus après le redémarrage.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SHOUTCAST for Windows NT"="shoutcast.exe"



Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\shoutcast.exe"="%SYSDIR%\shoutcast.exe:*:Enabled:SHOUTCAST
      for Windows NT"



La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\ProductName\ProductID]


Les clés de registre suivantes sont changées:

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
   L'ancienne valeur:
   • "Start"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Start"=dword:00000004

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
   L'ancienne valeur:
   • "DoNotAllowXPSP2"=%réglages définis par l'utilisateur%
     "DoNotAllowXPSP3"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DoNotAllowXPSP2"=dword:00000001
     "DoNotAllowXPSP3"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\security center]
   L'ancienne valeur:
   • "FirewallDisableNotify"=%réglages définis par l'utilisateur%
     "UpdatesDisableNotify"=%réglages définis par l'utilisateur%
     "AntiVirusDisableNotify"=%réglages définis par l'utilisateur%
     "AntiVirusOverride"=%réglages définis par l'utilisateur%
     "FirewallOverride"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "FirewallDisableNotify"=dword:00000001
     "UpdatesDisableNotify"=dword:00000001
     "AntiVirusDisableNotify"=dword:00000001
     "AntiVirusOverride"=dword:00000001
     "FirewallOverride"=dword:00000001

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • C$
   • D$


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

–Les noms d'utilisateurs et les mots de passe en antémémoire.

– Une liste de noms d'utilisateurs et de mots de passe:
   • www; windows; web; visitor; test2; test1; test; temp; telnet; ruler;
      remote; real; random; qwerty; public; pub; private; poiuytre;
      password; passwd; pass; oracle; one; nopass; nobody; nick; newpass;
      new; network; monitor; money; manager; mail; login; internet; install;
      hello; guest; free; demo; default; debug; database; crew; computer;
      coffee; bin; beta; backup; backdoor; anonymous; anon; alpha; adm;
      access; abc123; abc; system; sys; super; sql; shit; shadow; setup;
      security; secure; secret; 123456789; 12345678; 1234567; 123456; 12345;
      1234; 123; 00000000; 0000000; 000000; 00000; 0000; 000; server;
      administrateur; root; admin



La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)


La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.


Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: fbi32.cheapdf.**********
Port: 9568
Canal: #asn
Pseudonyme: %la version de Windows%|USA|%chaîne de caractères aléatoire de deux digits%
Mot de passe: owned



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Utilisateur courant
    • Information sur le réseau


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • Désactiver les partages réseau
    • Télécharger un fichier
    • Activer les partages réseau
    • Joindre le canal IRC
    • Scanner le réseau
    • Envoyer des e-mails
    • Se mettre à jour tout seul
    • Visiter un site web

 Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées existantes sont écrasées

– L'accès aux liens URL suivants est redirigé vers d'autres destinations :
   • www.virustotal.com
   • virusscan.jotti.org
   • sandbox.norman.no




Le fichier hôte modifié ressemblera à ceci:


 Arrêt de processus: La liste des processus qui sont terminés:
   • taskmgr.exe; process.exe; mmc.exe; regedit32.exe; regedit.exe;
      msconfig.exe; pccpfw.exe; kpf4gui.exe; fsguiexe.exe; efpeadm.exe;
      persfw.exe; zlclient.exe; Smc.exe; fsdfwd.exe; blackd.exe;
      MpfService.exe; nisum.exe; hijackthis.exe; MSASCui.exe; MsMpEng.exe;
      unregaaw.exe; blindman.exe; TeaTimer.exe; SpyCatcher.exe;
      swdoctor.exe; Tmas.exe; MssCli.exe; PPActiveDetection.exe;
      SpySweeper.exe; sunasServ.exe; Ad-Aware.exe; SpybotSD.exe;
      gcasServ.exe; Tmntsrv.exe; avgcc.exe; AVENGINE.EXE; ashAvast.exe;
      AVWIN.EXE; ntrtscan.exe; Mcshield.exe; fsav32.exe; AVKWCtl.exe;
      NAVAPSVC.exe


 Informations divers Mutex:


Il crée un des Mutex suivants:
   • prison
   • owned

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • ENIGMA

Description insérée par Monica Ghitun le jeudi 30 novembre 2006
Description mise à jour par Monica Ghitun le jeudi 11 janvier 2007

Retour . . . .