Worm/Sdbot.157696.9 - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/Sdbot.157696.9
La date de la découverte:	18/07/2006
Type:	Ver
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	157.696 Octets
Somme de contrôle MD5:	161a70734e4ca40E629b28db95910E70
Version VDF:	6.35.00.176
Version IVDF:	6.35.00.216

Général Méthode de propagation:
   • Le réseau local

Les alias:
   • Kaspersky: Backdoor.Win32.Wootbot.da
   • TrendMicro: WORM_WOOTBOT.AE
   • VirusBuster: Worm.Agobot.BRX

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\win2k.exe

Le fichier suivant est créé:

– %TEMPDIR%\C27D8FEF-D7AE-42c0-82E6-F30598265639.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Cleaner.A

Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
• %SYSDIR%\win2k.exe
Il exécute le fichier avec les paramètres suivantes : -bai %le dossier d'exécution du malware%\%le fichier exécuté%

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\
   RunOnce
– HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
   • "Routing"="win2k.exe"

– HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
   • "Routing"="win2k.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
   • "Routing"="win2k.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Routing"="win2k.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   • "Routing"="win2k.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Routing"="win2k.exe"

Les clés de registre suivantes sont ajoutées afin de charger les services après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\draeco.sytes.net
   • "Type"=dword:00000020
   • "Start"=dword:00000004
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\win2k.exe" -netsvcs
   • "DisplayName"="Routing"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valeurs hexa%
   • "DeleteFlag"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\draeco.sytes.net\Security
   • "Security"=%valeurs hexa%

– HKLM\SYSTEM\CurrentControlSet\Services\draeco.sytes.net\Enum
   • "0"="Root\\LEGACY_DRAECO.SYTES.NET\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

La création des adresses IP:
Il crée des adresses IP aléatoires tandis qu'il garde le premier octet de son propre adresse. Ensuite il essaye d'établir une connexion avec les adresses créées.

Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: ilgays.shitzone.**********
Port: 9899
Canal: #$ocks2
Pseudonyme: X-%chaîne de caractères aléatoire%
Mot de passe: S.7

– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Taille de mémoire
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows

– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • Télécharger un fichier
    • Scanner le réseau
    • Opérer la redirection d'un certain port
    • Redémarrer le système
    • Charger un fichier

Porte dérobée Le port suivant est ouvert:

– win2k.exe sur un port TCP aléatoire afin de fournir un serveur FTP

Vol d'informations Il essaie de voler l'information suivante:

– Les clés de CD suivantes:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White;
      Command & Conquer Generals; Command and Conquer: Generals (Zero Hour);
      Command and Conquer: Red Alert 2; Command and Conquer: Tiberian Sun;
      Counter-Strike (Retail); FIFA 2002; FIFA 2003; Freedom Force; Global
      Operations; Gunman Chronicles; Half-Life; Hidden & Dangerous 2; IGI 2:
      Covert Strike; Industry Giant 2; James Bond 007: Nightfire; Medal of
      Honor: Allied Assault; Medal of Honor: Allied Assault: Breakthrough;
      Medal of Honor: Allied Assault: Spearhead; Nascar Racing 2002; Nascar
      Racing 2003; Need For Speed: Underground; Neverwinter Nights; NHL
      2003; NHL 2002; Rainbow Six III RavenShield; Shogun: Total War:
      Warlord Edition; Soldier of Fortune II - Double Helix; Soldiers Of
      Anarchy; The Gladiators; Unreal Tournament 2003; Unreal Tournament
      2004

– Les mots de passe des programmes suivants:
   • Emails Addresses stored in WAB(Windows Address Book)
   • AOL Messenger passwords
   • Windows Messenger passwords

Informations divers Les partages réseau:
Les partages réseau suivants seront supprimés:
   • admin$
   • ipc$
   • d$
   • c$

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Voir la description brève ici.

Description inséré par Marius T. Nicolae sur Mon, 11 Sep 2006 12:28 (GMT+1)
Description mise à jour par Andrei Ivanes sur Mon, 04 Dec 2006 19:24 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour