Nom:Worm/SdBot.571392.1
La date de la découverte:20/02/2008
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:571.392 Octets
Somme de contrôle MD5:672ebe523a7ebd0A884b5cb7d7dd3888
Version IVDF:7.00.02.168 - mercredi 20 février 2008

 Général Méthodes de propagation:
   • Le réseau local
   • Peer to Peer


Les alias:
   •  Mcafee: W32/Sdbot.worm
   •  Kaspersky: Backdoor.Win32.SdBot.cqd
   •  F-Secure: Backdoor.Win32.SdBot.cqd
   •  Sophos: W32/Sdbot-DKD
   •  Grisoft: IRC/BackDoor.SdBot3.YIN
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.SDBot.DFPJ


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\svchost.exe



Il supprime sa propre copie, exécutée initialement

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win-32 Service]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %WINDIR%\svchost.exe
   • DisplayName = Generic Host Process for Win-32 Service
   • ObjectName = LocalSystem
   • FailureActions = %valeurs hexa%
   • Description = Generic Host Process for Win-32 Service

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win-32 Service\Security]
   • Security = %valeurs hexa%



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   La nouvelle valeur:
   • %chaîne de caractères aléatoire% = %le fichier exécuté%

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • shell = explorer.exe
   La nouvelle valeur:
   • shell = explorer.exe %WINDIR%\svchost.exe

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   La nouvelle valeur:
   • sfcdisable = 1113997
   • sfcscan = 0

– [HKLM\Software\Microsoft\Security Center]
   La nouvelle valeur:
   • antivirusdisablenotify = 1
   • antivirusoverride = 1
   • firewalldisablenotify = 1
   • firewalloverride = 1
   • updatesdisablenotify = 1

– [HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate]
   La nouvelle valeur:
   • donotallowxpsp2 = 1

– [HKLM\Software\Symantec\LiveUpdate Admin]
   La nouvelle valeur:
   • enterprise security manager = 1
   • ghost = 1
   • intruder alert = 1
   • liveadvisor = 1
   • liveupdate = 1
   • netrecon = 1
   • norton antivirus product updates = 1
   • norton antivirus virus definitions = 1
   • norton cleansweep = 1
   • norton commander = 1
   • norton internet security = 1
   • norton Systemworks = 1
   • norton utilities = 1
   • pc handyman and healthypc = 1
   • pcanywhere = 1
   • rescue disk = 1
   • symantec desktop firewall = 1
   • symantec gateway security ids = 1
   • symevent = 1

– [HKLM\System\CurrentControlSet\Services\wscsvc]
   La nouvelle valeur:
   • start = 4

– [HKLM\Software\Microsoft\OLE]
   La nouvelle valeur:
   • enabledcom = 78

– [HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   La nouvelle valeur:
   • auoptions = 1

– [HKLM\System\CurrentControlSet\Control\ServiceCurrent]
   La nouvelle valeur:
   • @ = 9

– [HKLM\System\CurrentControlSet\Control]
   La nouvelle valeur:
   • waittokillservicetimeout = 7000

– [HKLM\System\CurrentControlSet\Control\LSA]
   La nouvelle valeur:
   • restrictanonymous = 1

– [HKLM\System\CurrentControlSet\Services\LanManServer\Parameters]
   La nouvelle valeur:
   • autoshareserver = 0
   • autosharewks = 0

– [HKLM\System\CurrentControlSet\Services\LanManWorkstation\
   Parameters]
   La nouvelle valeur:
   • autoshareserver = 0
   • autosharewks = 0

– [HKLM\System\CurrentControlSet\Services\Messenger]
   La nouvelle valeur:
   • start = 4

– [HKLM\System\CurrentControlSet\Services\RemoteRegistry]
   La nouvelle valeur:
   • start = 4

– [HKLM\System\CurrentControlSet\Services\tlntsvr]
   La nouvelle valeur:
   • start = 4

Désactive le Pare-feu du Windows:
– [HKLM\Software\Policies\Microsoft\WindowsFirewall\DomainProfile]
   La nouvelle valeur:
   • enablefirewall = 0

– [HKLM\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]
   La nouvelle valeur:
   • enablefirewall = 0

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   La nouvelle valeur:
   • disableregistrytools = 1
   • disabletaskmgr = 1

 P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:  


   Il recherche le dossier partagé en questionnant la clé de registre suivante :
   • SOFTWARE\Kazaa\LocalContent\DownloadDir


 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.


La vulnérabilité:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnérabilité dans Service de Serveur)


Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: www.worldcasino.to
Port: 80
Pseudonyme: [P00|USA|%nombre%]



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antémémoire:
    • Vitesse du CPU
    • Utilisateur courant
    • Détails sur les pilots
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur des processus courants
    • Taille de mémoire
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • Désactiver les partages réseau
    • Télécharger un fichier
    • Éditer le registre
    • Activer les partages réseau
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande à distance
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Démarrer une routine de propagation
    • Terminer le Malware
    • Terminer un processus

 Porte dérobée Serveur de contact:
Un des suivants::
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/**********
   • http://www.kinchan.net/cgi-bin/**********
   • http://www.pistarnow.is.net.pl/**********
   • http://cgi.break.power.ne.jp/check/**********
   • http://www.proxy4free.info/cgi-bin/**********
   • http://69.59.137.236/cgi/**********
   • http://tutanchamon.ovh.org/**********
   • http://www.proxy.us.pl/**********
   • http://test.anonproxies.com/**********
   • http://www.nassc.com/**********
   • http://www.littleworld.pe.kr/**********
   • http://www.anonymitytest.com/cgi-bin/**********
   • http://tn0828-web.hp.infoseek.co.jp/cgi-bin/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe employés par la fonction AutoComplete
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

 Informations divers  Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • www.google.com


Anti debugging
Il vérifie si un des programmes suivants est en exécution:
   • Softice
   • Wine
   • FileMon
   • Regmon

En cas de succès, il s'arrête immédiatement.
S'il réussit il ne crée aucun dossier.


Modification du fichier:
Pour arrêter la fonction Windows File Protection (WFP) il y a la possibilité de modifier le fichier sfc_os.dll à Offset 0000E2B8. Avec Windows File Protection on envisage d’éluder une des problèmes connus de la DLL Inkonstinenz.

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Gherman le lundi 16 juin 2008
Description mise à jour par Robert Harja Iliescu le jeudi 24 juillet 2008

Retour . . . .