Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Sdbot.53675.17
La date de la découverte:20/11/2006
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:53.675 Octets
Somme de contrôle MD5:1df9bdd2d3b20Ad20B1199a46b90febe
Version VDF:6.36.01.52
Version IVDF:6.36.01.55 - lundi 20 novembre 2006

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Kaspersky: Backdoor.Win32.SdBot.aad
   •  Sophos: Mal/Behav-001
   •  VirusBuster: Worm.SdBot.EKM
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.SDBot.AAD


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\svchost.exe



Il renom le fichier suivant:

    •  %SYSDIR%\sfc_os.dll en %SYSDIR%\trash%chaîne de caractères aléatoire de cinq digits%



Il supprime sa propre copie, exécutée initialement



Le fichier suivant est créé:

%SYSDIR%\sfc_os.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Sfc.A.mod

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win32 Service
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"="%WINDIR%\svchost.exe"
   • "DisplayName"="Generic Host Process for Win32 Service"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valeurs hexa%
   • "Description"="Generic Host Process for Win32 Service"



Les clés de registre suivantes sont ajoutée:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "onliney"="%la date courante%"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "SFCScan"=dword:00000000
   • "SFCDisable"=dword:ffffff9d

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • d$\windows\system32c$\
   • d$\winnt\system32
   • c$\windows\system32
   • c$\winnt\system32
   • Admin$\system32
   • Admin$


La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS05-039 (Vulnerability in Plug and Play)
– MS06-040 (Vulnérabilité dans Service de Serveur)


Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: mail.telon-servers.net
Port: 7412
Canal: #
Pseudonyme: [P00|USA| %chaîne de caractères aléatoire de huit digits%]

Serveur: http.an1malmating.com
Port: 9632
Canal: #
Pseudonyme: [P00|USA| %chaîne de caractères aléatoire de huit digits%]



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Les adresses email recueillies
    • Vitesse du CPU
    • Détails sur les pilots
    • Espace libre sur le disque dur
    • Mémoire libre
    • Information sur le réseau
    • Information sur des processus courants
    • Taille de mémoire
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • Désactiver les partages réseau
    • se déconnecter du serveur IRC
    • Télécharger un fichier
    • Éditer le registre
    • Activer les partages réseau
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande à distance
    • Scanner le réseau
    • Enregistrer un service
    • Terminer un processus

 Arrêt de processus: Il essaye d'arrêter le processus suivant et il supprime les fichiers correspondants:
   • bbeagle.exe; d3dupdate.exe; i11r54n4.exe; irun4.exe; MSBLAST.exe;
      mscvb32.exe; PandaAVEngine.exe; Penis32.exe; rate.exe; ssate.exe;
      sysinfo.exe; taskmon.exe; teekids.exe; winsys.exe


 Porte dérobée Serveur de contact:
Tous les suivants:
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check**********
   • http://www.kinchan.net/cgi-bin/**********
   • http://www.pistarnow.is.net.pl/**********
   • http://cgi.break.power.ne.jp/check/**********
   • http://www.proxy4free.info/cgi-bin/**********
   • http://69.59.137.236/cgi/**********
   • http://tutanchamon.ovh.org/**********
   • http://www.proxy.us.pl/**********
   • http://test.anonproxies.com/**********
   • http://www.nassc.com/**********
   • http://www.littleworld.pe.kr/**********
   • http://www.anonymitytest.com/cgi-bin/**********
   • http://tn0828-web.hp.infoseek.co.jp/cgi-bin/**********


 Informations divers Mutex:
Il crée le Mutex suivant:
   • y3o2o6q7m4b9

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Irina Boldea le mercredi 31 janvier 2007
Description mise à jour par Irina Boldea le mercredi 31 janvier 2007

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.