Worm/SdBot.aad.364 - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/SdBot.aad.364
La date de la découverte:	28/12/2005
Type:	Ver
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Moyen à élevé
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	45.743 Octets
Somme de contrôle MD5:	5c390C0Fcf0727f7998f785b7756974f
Version VDF:	6.33.00.73

Général Méthodes de propagation:
   • Le réseau local
   • Mapped network drives
   • Programme de messagerie

Les alias:
   • Kaspersky: Backdoor.Win32.SdBot.aad

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %WINDIR%\winupdate32.exe

Il supprime sa propre copie, exécutée initialement

Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\Windows Update]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\winupdate32.exe"
   • "DisplayName"="Microsoft Windows Update"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valeurs hexa%
   • "Description"="Microsoft Windows Update"

– [HKLM\SYSTEM\CurrentControlSet\Services\Windows Update\Enum]
   • "0"="Root\\LEGACY_WINDOWS_UPDATE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_UPDATE]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_UPDATE\
   0000]
   • "Service"="Windows Update"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Microsoft Windows Update"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_UPDATE\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Windows Update"

– [HKLM\SYSTEM\CurrentControlSet\Services\Windows Update\Security]
   • "Security"=%valeurs hexa%

Les clés de registre suivantes sont ajoutée:

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\
   parameters]
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
   • "EnableFirewall"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
   • "EnableFirewall"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
   • "DoNotAllowXPSP2"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

Les clés de registre suivantes sont changées:

– [HKLM\SYSTEM\CurrentControlSet\Control]
   L'ancienne valeur:
   • "WaitToKillServiceTimeout"="%réglages définis par l'utilisateur%"
   La nouvelle valeur:
   • "WaitToKillServiceTimeout"="7000"

– [HKLM\SOFTWARE\Microsoft\Security Center]
   L'ancienne valeur:
   • "UpdatesDisableNotify"=%réglages définis par l'utilisateur%
   • "AntiVirusDisableNotify"=%réglages définis par l'utilisateur%
   • "FirewallDisableNotify"=%réglages définis par l'utilisateur%
   • "AntiVirusOverride"=%réglages définis par l'utilisateur%
   • "FirewallOverride"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   L'ancienne valeur:
   • "AUOptions"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AUOptions"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   L'ancienne valeur:
   • "restrictanonymous"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Ole]
   L'ancienne valeur:
   • "EnableDCOM"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableDCOM"="N"

Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– AIM Messenger

Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • IPC$
   • ADMIN$
   • C$
   • D$
   • E$
   • F$
   • G$
   • H$
   • I$
   • J$
   • K$
   • L$
   • M$
   • N$
   • O$
   • P$
   • Q$
   • R$
   • S$
   • T$
   • U$
   • V$
   • W$
   • X$
   • Y$
   • Z$

Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– Une liste de noms d'utilisateurs et de mots de passe:
   • 111; 123; 1234; 12345; 123456; 654321; !@; $; !@; $%; !@; $%^; !@;
      $%^&; admin; administrator; asdf; asdfgh; root; server

La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: ju**********fe.org
Port: 4813
Canal: #NAC#
Pseudonyme: [P00|USA|%chaîne de caractères aléatoire de cinq digits%]
Mot de passe: xscan

– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Capture de web caméra
    • Utilisateur courant
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • L'ID de la plateforme
    • Information sur des processus courants
    • Taille de mémoire
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows

– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • Désactiver DCOM
    • Désactiver les partages réseau
    • se déconnecter du serveur IRC
    • Télécharger un fichier
    • Éditer le registre
    • Activer DCOM
    • Activer les partages réseau
    • Exécuter un fichier
    • Finir le processus
    • Quitter la canal IRC
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Enregistrer un service
    • Démarrer une routine de propagation
    • Terminer le Malware
    • Terminer un processus
    • Se mettre à jour tout seul
    • Charger un fichier
    • Visiter un site web

Arrêt de processus: La liste des services qui sont désactivés:
   • Security Center
   • Remote Registry
   • Network Messenger
   • Telnet Server

Informations divers Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • http://windowsupdate.microsoft.com

Mutex:
Il crée le Mutex suivant:
   • 0x1fal

Chaîne de caractères:
Ensuite il contient les chaînes de caractères suivantes:
   • StnyFtpd
   • Reptile welcomes you..

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Daniel Constantin sur Tue, 17 Jan 2006 16:31 (GMT+1)
Description mise à jour par Daniel Constantin sur Tue, 24 Jan 2006 13:43 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour