Worm/Sdbot.39936.13 - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/Sdbot.39936.13
La date de la découverte:	12/08/2006
Type:	Ver
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	39.936 Octets
Somme de contrôle MD5:	EDECDE54249650429D8BDFD1DB6B3B27
Version VDF:	6.35.01.84
Version IVDF:	6.35.01.84

Général Méthode de propagation:
   • Le réseau local

Les alias:
   • Symantec: W32.Spybot.Worm
   • Sophos: W32/Sdbot-BND
   • VirusBuster: Worm.SdBot.CQJ
   • Eset: IRC/SdBot

Plateformes / Systèmes d'exploitation:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %WINDIR%\svchostwin32

Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\SVCWin32Update]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%WINDIR%\svchostwin32
   • "DisplayName"="Win32 Network Update"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:%valeurs hexa%
   • "Description"="SVCWin32 Update"

– [HKLM\SYSTEM\CurrentControlSet\Services\SVCWin32Update\Enum]
   • "0"="Root\\LEGACY_SVCWIN32UPDATE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\SVCWin32Update\Security]
   • "Security"=hex:%valeurs hexa%

Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   L'ancienne valeur:
   • "AUOptions"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AUOptions"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
   L'ancienne valeur:
   • "EnableFirewall"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableFirewall"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
   L'ancienne valeur:
   • "EnableFirewall"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableFirewall"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Security Center]
   L'ancienne valeur:
   • "UpdatesDisableNotify"=%réglages définis par l'utilisateur%
   • "AntiVirusDisableNotify"=%réglages définis par l'utilisateur%
   • "FirewallDisableNotify"=%réglages définis par l'utilisateur%
   • "AntiVirusOverride"=%réglages définis par l'utilisateur%
   • "FirewallOverride"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   L'ancienne valeur:
   • "restrictanonymous"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   L'ancienne valeur:
   • "AutoShareWks"=%réglages définis par l'utilisateur%
   • "AutoShareServer"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\
   parameters]
   L'ancienne valeur:
   • "AutoShareWks"=%réglages définis par l'utilisateur%
   • "AutoShareServer"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
   L'ancienne valeur:
   • "DoNotAllowXPSP2"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DoNotAllowXPSP2"=dword:00000001

– [HKLM\Software\Microsoft\OLE]
   L'ancienne valeur:
   • "EnableDCOM"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control]
   L'ancienne valeur:
   • "WaitToKillServiceTimeout"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "WaitToKillServiceTimeout"="7000"

Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • C$
   • ADMIN$
   • IPC$
   • %tous les dossiers partagés%

La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

La création des adresses IP:
Il crée des adresses IP aléatoires et il essaye d'établir une connexion avec elles.

Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.
Le fichier téléchargé est stocké sur la machine compromise comme: %SYSDIR%\eraseme_%nombre%.exe

Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: free.backendportal.**********
Port: 8080
Canal: #prom
Pseudonyme: [P00|USA|%chaîne de caractères aléatoire%]
Mot de passe: tru00

Serveur: win32.onlinewebportal.**********
Port: 8080
Canal: #prom
Pseudonyme: [P00|USA|%chaîne de caractères aléatoire%]
Mot de passe: tru00

Serveur: free.backendportal.**********
Port: 8080
Canal: #prom
Pseudonyme: [P00|USA|%chaîne de caractères aléatoire%]
Mot de passe: tru00

Serveur: free.avupdates.**********
Port: 8080
Canal: #prom
Pseudonyme: [P00|USA|%chaîne de caractères aléatoire%]
Mot de passe: tru00

– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Information sur des processus courants

– Ensuite il a la capacité d'opérer des actions tel que:
    • Désactiver les partages réseau
    • Télécharger un fichier
    • Activer les partages réseau
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Scanner le réseau
    • Arrêter le système
    • Démarrer une routine de propagation
    • Se mettre à jour tout seul

Arrêt de processus: La liste des services qui sont désactivés:
   • Windows Firewall/ICS
   • Security Center
   • Messenger
   • Remote Registry
   • Telnet

Informations divers Mutex:
Il crée le Mutex suivant:
• Multiply NetAssets

Anti debugging
Il vérifie si le programme suivant est en exécution:
• SoftIce

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Wed, 25 Oct 2006 15:21 (GMT+1)
Description mise à jour par Iulia Diaconescu sur Mon, 06 Nov 2006 13:13 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour