Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/SdBot.571392.1
La date de la dcouverte:20/02/2008
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:571.392 Octets
Somme de contrle MD5:672ebe523a7ebd0A884b5cb7d7dd3888
Version IVDF:7.00.02.168 - mercredi 20 février 2008

 Gnral Mthodes de propagation:
   • Le rseau local
   • Peer to Peer


Les alias:
   •  Mcafee: W32/Sdbot.worm
   •  Kaspersky: Backdoor.Win32.SdBot.cqd
   •  F-Secure: Backdoor.Win32.SdBot.cqd
   •  Sophos: W32/Sdbot-DKD
   •  Grisoft: IRC/BackDoor.SdBot3.YIN
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.SDBot.DFPJ


Plateformes / Systmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrt les applications de scurit
   • Il diminue les rglages de scurit
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il vole de l'information
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\svchost.exe



Il supprime sa propre copie, excute initialement

 Registre Les cls de registre suivantes sont ajoutes afin de charger le service aprs le redmarrage:

[HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win-32 Service]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %WINDIR%\svchost.exe
   • DisplayName = Generic Host Process for Win-32 Service
   • ObjectName = LocalSystem
   • FailureActions = %valeurs hexa%
   • Description = Generic Host Process for Win-32 Service

[HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win-32 Service\Security]
   • Security = %valeurs hexa%



Les cls de registre suivantes sont changes:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   La nouvelle valeur:
   • %chane de caractres alatoire% = %le fichier excut%

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • shell = explorer.exe
   La nouvelle valeur:
   • shell = explorer.exe %WINDIR%\svchost.exe

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   La nouvelle valeur:
   • sfcdisable = 1113997
   • sfcscan = 0

[HKLM\Software\Microsoft\Security Center]
   La nouvelle valeur:
   • antivirusdisablenotify = 1
   • antivirusoverride = 1
   • firewalldisablenotify = 1
   • firewalloverride = 1
   • updatesdisablenotify = 1

[HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate]
   La nouvelle valeur:
   • donotallowxpsp2 = 1

[HKLM\Software\Symantec\LiveUpdate Admin]
   La nouvelle valeur:
   • enterprise security manager = 1
   • ghost = 1
   • intruder alert = 1
   • liveadvisor = 1
   • liveupdate = 1
   • netrecon = 1
   • norton antivirus product updates = 1
   • norton antivirus virus definitions = 1
   • norton cleansweep = 1
   • norton commander = 1
   • norton internet security = 1
   • norton Systemworks = 1
   • norton utilities = 1
   • pc handyman and healthypc = 1
   • pcanywhere = 1
   • rescue disk = 1
   • symantec desktop firewall = 1
   • symantec gateway security ids = 1
   • symevent = 1

[HKLM\System\CurrentControlSet\Services\wscsvc]
   La nouvelle valeur:
   • start = 4

[HKLM\Software\Microsoft\OLE]
   La nouvelle valeur:
   • enabledcom = 78

[HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   La nouvelle valeur:
   • auoptions = 1

[HKLM\System\CurrentControlSet\Control\ServiceCurrent]
   La nouvelle valeur:
   • @ = 9

[HKLM\System\CurrentControlSet\Control]
   La nouvelle valeur:
   • waittokillservicetimeout = 7000

[HKLM\System\CurrentControlSet\Control\LSA]
   La nouvelle valeur:
   • restrictanonymous = 1

[HKLM\System\CurrentControlSet\Services\LanManServer\Parameters]
   La nouvelle valeur:
   • autoshareserver = 0
   • autosharewks = 0

[HKLM\System\CurrentControlSet\Services\LanManWorkstation\
   Parameters]
   La nouvelle valeur:
   • autoshareserver = 0
   • autosharewks = 0

[HKLM\System\CurrentControlSet\Services\Messenger]
   La nouvelle valeur:
   • start = 4

[HKLM\System\CurrentControlSet\Services\RemoteRegistry]
   La nouvelle valeur:
   • start = 4

[HKLM\System\CurrentControlSet\Services\tlntsvr]
   La nouvelle valeur:
   • start = 4

Dsactive le Pare-feu du Windows:
[HKLM\Software\Policies\Microsoft\WindowsFirewall\DomainProfile]
   La nouvelle valeur:
   • enablefirewall = 0

[HKLM\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]
   La nouvelle valeur:
   • enablefirewall = 0

Il dsactive le Gestionnaire des tches et l'diteur de la base de registres
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   La nouvelle valeur:
   • disableregistrytools = 1
   • disabletaskmgr = 1

 P2P Afin d'infecter d'autres systmes d'exploitation dans la communaut en rseau peer-to-peer, l'action suivante est entreprise:


   Il recherche le dossier partag en questionnant la cl de registre suivante :
   • SOFTWARE\Kazaa\LocalContent\DownloadDir


 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.


La vulnrabilit:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)
 MS06-040 (Vulnrabilit dans Service de Serveur)


Le processus d'infection:
Il cre un script FTP sur la machine compromise afin de tlcharger le malware vers l'emplacement distant.

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: www.worldcasino.to
Port: 80
Pseudonyme: [P00|USA|%nombre%]



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antmmoire:
    • Vitesse du CPU
    • Utilisateur courant
     Dtails sur les pilots
    • Espace libre sur le disque dur
    • Mmoire libre
    • Le temps de fonctionnement du Malware
    • Information sur des processus courants
    • Taille de mmoire
    • Nom d'utilisateur
    • Information sur le systme d'exploitation Windows


 Ensuite il a la capacit d'oprer des actions tel que:
     Lancer des attaques DDoS ICMP
     Lancer des attaques DDoS SYN
     Lance des attaques DDoS UDP
    • Dsactiver les partages rseau
    • Tlcharger un fichier
    • diter le registre
    • Activer les partages rseau
    • Excuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande distance
    • Oprer un attaque DDoS
     Scanner le rseau
     Dmarrer une routine de propagation
    • Terminer le Malware
    • Terminer un processus

 Porte drobe Serveur de contact:
Un des suivants::
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/**********
   • http://www.kinchan.net/cgi-bin/**********
   • http://www.pistarnow.is.net.pl/**********
   • http://cgi.break.power.ne.jp/check/**********
   • http://www.proxy4free.info/cgi-bin/**********
   • http://69.59.137.236/cgi/**********
   • http://tutanchamon.ovh.org/**********
   • http://www.proxy.us.pl/**********
   • http://test.anonproxies.com/**********
   • http://www.nassc.com/**********
   • http://www.littleworld.pe.kr/**********
   • http://www.anonymitytest.com/cgi-bin/**********
   • http://tn0828-web.hp.infoseek.co.jp/cgi-bin/**********

En consquence il peut envoyer de l'information et fournir d'accs distance.

 Vol d'informations Il essaie de voler l'information suivante:
 Les mots de passe employs par la fonction AutoComplete
 Des informations sur le compte d'email, obtenues de la cl de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

 Informations divers  Il vrifie l'existence d'une connexion Internet en contactant le site web suivant:
   • www.google.com


Anti debugging
Il vrifie si un des programmes suivants est en excution:
   • Softice
   • Wine
   • FileMon
   • Regmon

En cas de succs, il s'arrte immdiatement.
S'il russit il ne cre aucun dossier.


Modification du fichier:
Pour arrter la fonction Windows File Protection (WFP) il y a la possibilit de modifier le fichier sfc_os.dll Offset 0000E2B8. Avec Windows File Protection on envisage dluder une des problmes connus de la DLL Inkonstinenz.

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Andrei Gherman le lundi 16 juin 2008
Description mise à jour par Robert Harja Iliescu le jeudi 24 juillet 2008

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.