Worm/SdBot.208896.6 - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/SdBot.208896.6
La date de la découverte:	18/11/2005
Type:	Ver
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	208.896 Octets
Somme de contrôle MD5:	2AB4B169221714C52AAF14E48A8E09E3
Version VDF:	6.32.00.192

Général Méthode de propagation:
   • Le réseau local

Les alias:
   • Symantec: W32.Spybot.Worm
   • Kaspersky: Backdoor.Win32.SdBot.ain
   • TrendMicro: WORM_RBOT.CUE
   • Sophos: W32/Sdbot-AOL
   • Grisoft: IRC/BackDoor.SdBot.OQE
   • Eset: IRC/SdBot
   • Bitdefender: Win32.Worm.Mybot.IP

Plateformes / Systèmes d'exploitation:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %WINDIR%\gcxsrvc.exe

Il supprime sa propre copie, exécutée initialement

Le fichier suivant est créé:

– %SYSDIR%\drivers\rofl.sys Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Aimbot.AF.5

Registre Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\GCX Service]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%WINDIR%\gcxsrvc.exe
   • "DisplayName"="GCX Service"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:%valeurs hexa%
   • "Description"="Provides Windows Access To Use The GCX Protocol"

– [HKLM\SYSTEM\CurrentControlSet\Services\GCX Service\Enum]
   • "0"="Root\\LEGACY_SVCWIN32UPDATE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\GCX Service\Security]
   • "Security"=hex:%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\rofl]
   • "Type"=dword:00000001
   • "Start"=dword:00000003
   • "ErrorControl"=dword:00000001
   • "ImagePath"=hex(2):%SYSDIR%\drivers\rofl.sys
   • "DisplayName"="rofl"

– [HKLM\SYSTEM\CurrentControlSet\Services\rofl\Security]
   • "Security"=hex:%valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\rofl\Enum]
   • "0"="Root\\LEGACY_ROFL\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

La valeur de la clé de registre suivante est supprimée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   • "MK"="%le dossier d'exécution du malware%\%le fichier exécuté%"

La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   • "IT"="%la date courante%, %le temps courant%"
   • "RU"=%caractères-double-octet%
   • "MK"="%le dossier d'exécution du malware%\%le fichier exécuté%"

Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   L'ancienne valeur:
   • "AUOptions"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AUOptions"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
   L'ancienne valeur:
   • "EnableFirewall"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableFirewall"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
   L'ancienne valeur:
   • "EnableFirewall"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableFirewall"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Security Center]
   L'ancienne valeur:
   • "UpdatesDisableNotify"=%réglages définis par l'utilisateur%
   • "AntiVirusDisableNotify"=%réglages définis par l'utilisateur%
   • "FirewallDisableNotify"=%réglages définis par l'utilisateur%
   • "AntiVirusOverride"=%réglages définis par l'utilisateur%
   • "FirewallOverride"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   L'ancienne valeur:
   • "restrictanonymous"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "restrictanonymous"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   L'ancienne valeur:
   • "AutoShareWks"=%réglages définis par l'utilisateur%
   • "AutoShareServer"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\
   parameters]
   L'ancienne valeur:
   • "AutoShareWks"=%réglages définis par l'utilisateur%
   • "AutoShareServer"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
   L'ancienne valeur:
   • "DoNotAllowXPSP2"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DoNotAllowXPSP2"=dword:00000001

– [HKLM\Software\Microsoft\OLE]
   L'ancienne valeur:
   • "EnableDCOM"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control]
   L'ancienne valeur:
   • "WaitToKillServiceTimeout"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "WaitToKillServiceTimeout"="7000"

Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • d$\windows\system32
   • d$\winnt\system32
   • c$\windows\system32
   • c$\winnt\system32
   • Admin$\system32
   • Admin$
   • IPC$
   • C$
   • %tous les dossiers partagés%

Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– Une liste de noms d'utilisateurs et de mots de passe:
   • admin; root; server; asdfgh; asdf; !@; $%^&; !@; $%^; !@; $%; !@; $;
      654321; 123456; 12345; 1234; 123; 111; administrator

La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: please.syn-flood.**********
Port: 7000
Le mot de passe du serveur: 95A55AF65B1D42616B4D6C5
Canal: #GCX
Pseudonyme: [%système d'exploitation%|P|USA|%nombre%]
Mot de passe: 5B7BB38F4BDF71513DEE624

– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Détails sur les pilots
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Information sur des processus courants
    • Taille de mémoire

– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • Désactiver les partages réseau
    • Télécharger un fichier
    • Activer les partages réseau
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Scanner le réseau
    • Opérer la redirection d'un certain port
    • Démarrer une routine de propagation
    • Se mettre à jour tout seul

Arrêt de processus: La liste des services qui sont désactivés:
   • Windows Firewall/ICS
   • Security Center
   • Messenger
   • Remote Registry
   • Telnet

Porte dérobée Serveur de contact:
Un des suivants::
   • http://hpcgi1.nifty.com/mute/c/**********
   • http://www.age.ne.jp/x/maxwell/cgi-bin/**********
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/**********
   • http://cgi14.plala.or.jp/little_w/**********
   • http://yia.s22.xrea.com/**********
   • http://www.kinchan.net/cgi-bin/**********

Ceci est fait par l'intermédiaire de la requête HTTP GET du script CGI.

Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe employés par la fonction AutoComplete
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Les mots de passe des programmes suivants:
   • MSN
   • Outlook Express
   • AOL Instant Messenger

Informations divers Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
• http://windowsupdate.microsoft.com

Anti debugging
Il vérifie si le programme suivant est en exécution:
• SoftIce

La technologie Rootkit C'est une technologie spécifique au malware. Le malware cache sa présence aux utilitaires de système, applications de sécurité et à la fin, à l'utilisateur.

Il cache les suivants:
– Son propre processus

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Iulia Diaconescu sur Thu, 26 Oct 2006 09:10 (GMT+1)
Description mise à jour par Iulia Diaconescu sur Mon, 06 Nov 2006 13:14 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour