Worm/SdBot.64512.25 - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/SdBot.64512.25
La date de la découverte:	24/03/2006
Type:	Ver
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Moyen à élevé
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	63.488 Octets
Somme de contrôle MD5:	D8A64BA6A689014C85A43402453E3394
Version VDF:	6.34.00.91
Version IVDF:	6.34.00.91

Général Méthodes de propagation:
   • Le réseau local
   • Programme de messagerie

Les alias:
   • Symantec: W32.Spybot.Worm
   • Kaspersky: Backdoor.Win32.SdBot.afg
   • TrendMicro: WORM_SDBOT.DXL
   • Sophos: W32/Sdbot-BND
   • VirusBuster: Worm.SdBot.BWH
   • Eset: Win32/Rbot

Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\hp-1003.exe

Il supprime sa propre copie, exécutée initialement

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "File Mapping Services"="hp-1003.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "File Mapping Services"="hp-1003.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "File Mapping Services"="hp-1003.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "File Mapping Services"="hp-1003.exe"

Les clés de registre suivantes sont ajoutée:

– [HKLM\Software\Microsoft\OLE]
   • "File Mapping Services"="hp-1003.exe"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "File Mapping Services"="hp-1003.exe"

– [HKCU\Software\Microsoft\OLE]
   • "File Mapping Services"="hp-1003.exe"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "File Mapping Services"="hp-1003.exe"

Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– AIM Messenger

Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • admin$
   • Admin$\system32
   • ipc$
   • c$

La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Après il essaye d'établir une connexion avec les adresses créées.

Le processus d'infection:
Crée un script TFTP ou FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: backup.daw00dbhai.**********
Port: 8585
Canal: #back
Pseudonyme: %chaîne de caractères aléatoire%

Serveur: backup.d0d0n0.**********
Port: 8585
Canal: #back
Pseudonyme: %chaîne de caractères aléatoire%

– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Détails sur les pilots
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • L'ID de la plateforme
    • Information sur des processus courants
    • Taille de mémoire
    • Nom d'utilisateur

– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Désactiver DCOM
    • Désactiver les partages réseau
    • se déconnecter du serveur IRC
    • Télécharger un fichier
    • Activer DCOM
    • Activer les partages réseau
    • Exécuter un fichier
    • Finir le processus
    • Ouvrir une ligne de commande à distance
    • Scanner le réseau
    • Démarrer une routine de propagation
    • Terminer le Malware
    • Se mettre à jour tout seul
    • Charger un fichier

Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe employés par la fonction AutoComplete

– Le mot de passe du programme suivant:
• MSN

Informations divers Mutex:
Il crée le Mutex suivant:
• trinkel

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Fri, 20 Oct 2006 14:25 (GMT+1)
Description mise à jour par Iulia Diaconescu sur Tue, 24 Oct 2006 16:08 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour