Nume:Worm/Sdbot.39936.9
Descoperit pe data de:18/05/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:39.936 Bytes
MD5:05e9876a966f3d9ee124e649509b0Fd0
Versiune VDF:6.34.01.101
Versiune IVDF:6.34.01.103 - giovedì 18 maggio 2006

 General Metode de raspandire:
   • Reteaua locala
   • Discuri de retea mapate


Alias:
   •  Symantec: W32.Spybot.Worm
   •  TrendMicro: WORM_SDBOT.HM
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.SDBot.6A9913B0


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Reduce setarile de securitate
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\win32host.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– HKLM\SYSTEM\CurrentControlSet\Services\Win32Kernel
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\win32host.exe"
   • "DisplayName"="Win32 Kernel Update"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valori hex%
   • "Description"="Win32 OS Update"



Urmatoarele chei sunt adaugate in registrii sistemului:

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   • "DoNotAllowXPSP2"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control
   • "WaitToKillServiceTimeout"="7000"



Urmatoarele chei din registri sunt modificate:

– HKLM\SOFTWARE\Microsoft\Security Center
   Vechea valoare:
   • "AntiVirusDisableNotify"=dword:%setarile utilizatorului%
   • "FirewallDisableNotify"=dword:%setarile utilizatorului%
   • "UpdatesDisableNotify"=dword:%setarile utilizatorului%
   • "AntiVirusOverride"=dword:%setarile utilizatorului%
   • "FirewallOverride"=dword:%setarile utilizatorului%
   Noua valoare:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   Vechea valoare:
   • "EnableFirewall"=%setarile utilizatorului%
   Noua valoare:
   • "EnableFirewall"=dword:00000000

– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
   Vechea valoare:
   • "EnableFirewall"=%setarile utilizatorului%
   Noua valoare:
   • "EnableFirewall"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   Vechea valoare:
   • "AUOptions"=%setarile utilizatorului%
   Noua valoare:
   • "AUOptions"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Vechea valoare:
   • "restrictanonymous"=%setarile utilizatorului%
   Noua valoare:
   • "restrictanonymous"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   Vechea valoare:
   • "AutoShareWks"=%setarile utilizatorului%
   • "AutoShareServer"=%setarile utilizatorului%
   Noua valoare:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
   Vechea valoare:
   • "AutoShareWks"=%setarile utilizatorului%
   • "AutoShareServer"=%setarile utilizatorului%
   Noua valoare:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Ole
   Vechea valoare:
   • "EnableDCOM"=%setarile utilizatorului%
   Noua valoare:
   • "EnableDCOM"="N"

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza copii malware in urmatoarele share-uri de retea:
   • ADMIN$
   • IPC$
   • C$


Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.


Procesul de infectare:
Se creeaza un script FTP in sistemul afectat, pentru a descarcaun malware pe alt computer controlat la distanta.


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: free.avupda**********
Port: 80
Canal: #pg
Nick: [P00|USA| %sir de 5 caractere aleatoare%]
Parola: d00l

Server: free.avupda**********
Port: 80
Canal: #pg
Nick: [P00|USA| %sir de 5 caractere aleatoare%]
Parola: d00l

Server: free.updateav**********
Port: 80
Canal: #pg
Nick: [P00|USA| %sir de 5 caractere aleatoare%]
Parola: d00l

Server: free.allavupdates.biz
Port: 80
Canal: #pg
Nick: [P00|USA| %sir de 5 caractere aleatoare%]
Parola: d00l



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Informatii despre drivere
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • Informatii despre procesele sistemului
    • Cantitatea de memorie
    • Utilizator
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • dezactivarea partajarii de resurse in retea
    • editare registru sistem
    • activarea partajarii de resurse in retea
    • executarea unui fisier
    • terminare proces
    • executare atac DDoS
    • Scaneaza reteaua
    • Inregistreaza un serviciu
    • oprierea sistemului
    • Porneste rutina de raspandire
    • terminare proces
    • Se actualizeaza singur

 Terminarea proceselor  Lista cu serviciile dezactivate:
   • Security Center
   • Remote Registry
   • Messenger
   • Telnet

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Irina Boldea su mercoledì 19 luglio 2006
Descrizione aggiornata da Irina Boldea su mercoledì 19 luglio 2006

Indietro . . . .