Worm/SdBot.571392.1 - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/SdBot.571392.1
La date de la découverte:	20/02/2008
Type:	Ver
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Moyen à élevé
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	571.392 Octets
Somme de contrôle MD5:	672ebe523a7ebd0A884b5cb7d7dd3888
Version IVDF:	7.00.02.168

Général Méthodes de propagation:
   • Le réseau local
   • Peer to Peer

Les alias:
   • Mcafee: W32/Sdbot.worm
   • Kaspersky: Backdoor.Win32.SdBot.cqd
   • F-Secure: Backdoor.Win32.SdBot.cqd
   • Sophos: W32/Sdbot-DKD
   • Grisoft: IRC/BackDoor.SdBot3.YIN
   • Eset: IRC/SdBot
   • Bitdefender: Backdoor.SDBot.DFPJ

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Arrêt les applications de sécurité
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %WINDIR%\svchost.exe

Il supprime sa propre copie, exécutée initialement

Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win-32 Service]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %WINDIR%\svchost.exe
   • DisplayName = Generic Host Process for Win-32 Service
   • ObjectName = LocalSystem
   • FailureActions = %valeurs hexa%
   • Description = Generic Host Process for Win-32 Service

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win-32 Service\Security]
   • Security = %valeurs hexa%

Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   La nouvelle valeur:
   • %chaîne de caractères aléatoire% = %le fichier exécuté%

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • shell = explorer.exe
   La nouvelle valeur:
   • shell = explorer.exe %WINDIR%\svchost.exe

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   La nouvelle valeur:
   • sfcdisable = 1113997
   • sfcscan = 0

– [HKLM\Software\Microsoft\Security Center]
   La nouvelle valeur:
   • antivirusdisablenotify = 1
   • antivirusoverride = 1
   • firewalldisablenotify = 1
   • firewalloverride = 1
   • updatesdisablenotify = 1

– [HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate]
   La nouvelle valeur:
   • donotallowxpsp2 = 1

– [HKLM\Software\Symantec\LiveUpdate Admin]
   La nouvelle valeur:
   • enterprise security manager = 1
   • ghost = 1
   • intruder alert = 1
   • liveadvisor = 1
   • liveupdate = 1
   • netrecon = 1
   • norton antivirus product updates = 1
   • norton antivirus virus definitions = 1
   • norton cleansweep = 1
   • norton commander = 1
   • norton internet security = 1
   • norton Systemworks = 1
   • norton utilities = 1
   • pc handyman and healthypc = 1
   • pcanywhere = 1
   • rescue disk = 1
   • symantec desktop firewall = 1
   • symantec gateway security ids = 1
   • symevent = 1

– [HKLM\System\CurrentControlSet\Services\wscsvc]
   La nouvelle valeur:
   • start = 4

– [HKLM\Software\Microsoft\OLE]
   La nouvelle valeur:
   • enabledcom = 78

– [HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   La nouvelle valeur:
   • auoptions = 1

– [HKLM\System\CurrentControlSet\Control\ServiceCurrent]
   La nouvelle valeur:
   • @ = 9

– [HKLM\System\CurrentControlSet\Control]
   La nouvelle valeur:
   • waittokillservicetimeout = 7000

– [HKLM\System\CurrentControlSet\Control\LSA]
   La nouvelle valeur:
   • restrictanonymous = 1

– [HKLM\System\CurrentControlSet\Services\LanManServer\Parameters]
   La nouvelle valeur:
   • autoshareserver = 0
   • autosharewks = 0

– [HKLM\System\CurrentControlSet\Services\LanManWorkstation\
   Parameters]
   La nouvelle valeur:
   • autoshareserver = 0
   • autosharewks = 0

– [HKLM\System\CurrentControlSet\Services\Messenger]
   La nouvelle valeur:
   • start = 4

– [HKLM\System\CurrentControlSet\Services\RemoteRegistry]
   La nouvelle valeur:
   • start = 4

– [HKLM\System\CurrentControlSet\Services\tlntsvr]
   La nouvelle valeur:
   • start = 4

Désactive le Pare-feu du Windows XP:
– [HKLM\Software\Policies\Microsoft\WindowsFirewall\DomainProfile]
   La nouvelle valeur:
   • enablefirewall = 0

– [HKLM\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]
   La nouvelle valeur:
   • enablefirewall = 0

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   La nouvelle valeur:
   • disableregistrytools = 1
   • disabletaskmgr = 1

P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:

– Il recherche le dossier partagé en questionnant la clé de registre suivante :
• SOFTWARE\Kazaa\LocalContent\DownloadDir

Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

La vulnérabilité:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)
–MS06-040 (Vulnérabilité dans Service de Serveur)

Le processus d'infection:
Il crée un script FTP sur la machine compromise afin de télécharger le malware vers l'emplacement distant.

IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: www.worldcasino.to
Port: 80
Pseudonyme: [P00|USA|%nombre%]

– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Les mots de passe en antémémoire:
    • Vitesse du CPU
    • Utilisateur courant
    • Détails sur les pilots
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur des processus courants
    • Taille de mémoire
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows

– Ensuite il a la capacité d'opérer des actions tel que:
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • Désactiver les partages réseau
    • Télécharger un fichier
    • Éditer le registre
    • Activer les partages réseau
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande à distance
    • Opérer un attaque DDoS
    • Scanner le réseau
    • Démarrer une routine de propagation
    • Terminer le Malware
    • Terminer un processus

Porte dérobée Serveur de contact:
Un des suivants::
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/**********
   • http://www.kinchan.net/cgi-bin/**********
   • http://www.pistarnow.is.net.pl/**********
   • http://cgi.break.power.ne.jp/check/**********
   • http://www.proxy4free.info/cgi-bin/**********
   • http://69.59.137.236/cgi/**********
   • http://tutanchamon.ovh.org/**********
   • http://www.proxy.us.pl/**********
   • http://test.anonproxies.com/**********
   • http://www.nassc.com/**********
   • http://www.littleworld.pe.kr/**********
   • http://www.anonymitytest.com/cgi-bin/**********
   • http://tn0828-web.hp.infoseek.co.jp/cgi-bin/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe employés par la fonction AutoComplete
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

Informations divers Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • www.google.com

Anti debugging
Il vérifie si un des programmes suivants est en exécution:
   • Softice
   • Wine
   • FileMon
   • Regmon

En cas de succès, il s'arrête immédiatement.
S'il réussit il ne crée aucun dossier.

Modification du fichier:
Pour arrêter la fonction Windows File Protection (WFP) il y a la possibilité de modifier le fichier sfc_os.dll à Offset 0000E2B8. Avec Windows File Protection on envisage d’éluder une des problèmes connus de la DLL Inkonstinenz.

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Andrei Gherman sur Mon, 16 Jun 2008 10:18 (GMT+1)
Description mise à jour par Robert Harja Iliescu sur Thu, 24 Jul 2008 13:15 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour