Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Sdbot.53675.8
La date de la dcouverte:05/11/2005
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:53.675 Octets
Somme de contrle MD5:478d1492c949d6423bb5a4505e084a5e
Version VDF:6.36.00.213
Version IVDF:6.36.00.237 - dimanche 5 novembre 2006

 Gnral Mthode de propagation:
   • Le rseau local


Les alias:
   •  Kaspersky: Backdoor.Win32.SdBot.aad
   •  Sophos: Mal/Behav-001
   •  VirusBuster: Worm.SdBot.EKM
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.SDBot.AAD


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre un fichier malveillant
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\iexplore.exe



Il renom le fichier suivant:

      %SYSDIR%\sfc_os.dll en %SYSDIR%\trash%chane de caractres alatoire de cinq digits%



Il supprime sa propre copie, excute initialement



Le fichier suivant est cr:

%SYSDIR%\sfc_os.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: TR/Sfc.A.mod

 Registre Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

HKLM\SYSTEM\CurrentControlSet\Services\Windows Internet Service
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\iexplore.exe"
   • "DisplayName"="Windows Internet Service"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valeurs hexa%
   • "Description"="Windows Internet Service"



Les cls de registre suivantes sont ajoute:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "onliney"="%la date courante%"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "SFCScan"=dword:00000000
   • "SFCDisable"=dword:ffffff9d

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.

Il s'autocopie dans les partages rseau suivants:
   • d$\windows\system32c$\
   • d$\winnt\system32
   • c$\windows\system32
   • c$\winnt\system32
   • Admin$\system32
   • Admin$


La vulnrabilit:
Il se sert des vulnrabilits suivantes:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS05-039 (Vulnerability in Plug and Play)
 MS06-040 (Vulnrabilit dans Service de Serveur)


Le processus d'infection:
Il cre un script FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.


Excution distance:
Il essaye de programmer une excution distance du malware, sur la machine nouvellement infecte. Par consquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le systme et d'accs distance, il se connecte aux serveurs IRC suivants:

Serveur: mail.telon-**********
Port: 7412
Canal: #
Pseudonyme: [P00|USA| %chane de caractres alatoire de huit digits%]

Serveur: http.an1mal**********
Port: 9632
Canal: #
Pseudonyme: [P00|USA| %chane de caractres alatoire de huit digits%]



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
     Les adresses email recueillies
    • Vitesse du CPU
     Dtails sur les pilots
    • Espace libre sur le disque dur
    • Mmoire libre
    • Information sur le rseau
    • Information sur des processus courants
    • Taille de mmoire
    • Nom d'utilisateur
    • Information sur le systme d'exploitation Windows


 Ensuite il a la capacit d'oprer des actions tel que:
    • Dsactiver les partages rseau
     se dconnecter du serveur IRC
    • Tlcharger un fichier
    • diter le registre
    • Activer les partages rseau
    • Excuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande distance
     Scanner le rseau
     Enregistrer un service
    • Terminer un processus

 Arrt de processus: Il essaye d'arrter le processus suivant et il supprime les fichiers correspondants:
   • bbeagle.exe; d3dupdate.exe; i11r54n4.exe; irun4.exe; MSBLAST.exe;
      mscvb32.exe; PandaAVEngine.exe; Penis32.exe; rate.exe; ssate.exe;
      sysinfo.exe; taskmon.exe; teekids.exe; winsys.exe


 Porte drobe Serveur de contact:
Tous les suivants:
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check**********
   • http://www.kinchan.net/cgi-bin/**********
   • http://www.pistarnow.is.net.pl/**********
   • http://cgi.break.power.ne.jp/check/**********
   • http://www.proxy4free.info/cgi-bin/**********
   • http://69.59.137.236/cgi/**********
   • http://tutanchamon.ovh.org/**********
   • http://www.proxy.us.pl/**********
   • http://test.anonproxies.com/**********
   • http://www.nassc.com/**********
   • http://www.littleworld.pe.kr/**********
   • http://www.anonymitytest.com/cgi-bin/**********
   • http://tn0828-web.hp.infoseek.co.jp/cgi-bin/**********


 Informations divers Mutex:
Il cre le Mutex suivant:
   • e4s2j7q1i1l5

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Irina Boldea le mercredi 31 janvier 2007
Description mise à jour par Irina Boldea le mercredi 31 janvier 2007

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.