Descrizione completa

Nome del virus:	Worm/Sdbot.41906
Scoperto:	13/09/2006
Tipo:	Worm
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	41.906 Byte
Somma di controllo MD5:	1985be77497205b2b3575f6fb194baed
Versione VDF:	6.35.01.217
Versione IVDF:	6.35.01.221

Generale Metodi di propagazione:
   • Rete locale
   • Messenger

Alias:
   • Kaspersky: Backdoor.Win32.SdBot.aad
   • F-Secure: Backdoor.Win32.SdBot.aad
   • Bitdefender: Backdoor.SDBot.10246257

Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

File Si copia alla seguente posizione:
• %SYSDIR%\csrv.exe

Cancella la copia di se stesso eseguita inizialmente.

Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– HKLM\SYSTEM\CurrentControlSet\Services\Sniff Managmnet Service
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\csrv.exe"
   • "DisplayName"="Sniff Managmnet Service"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valori esadecimali%
   • "Description"="Sniff Managmnet Service"

– HKLM\SYSTEM\CurrentControlSet\Services\Sniff Managmnet Service\Enum
   • "0"="Root\LEGACY_SNIFF_MANAGMNET_SERVICE\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\Sniff Managmnet Service\
   Security
   • "Security"=%valori esadecimali%

Vengono aggiunte le seguenti chiavi di registro:

– HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   • "DoNotAllowXPSP2"=dword:00000001

Vengono cambiate le seguenti chiavi di registro:

– HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent
   Valore precedente:
   • "(default)"=dword:0000000d
   Nuovo valore:
   • "(default)"=dword:0000000e

– HKLM\SYSTEM\CurrentControlSet\Control
   Valore precedente:
   • "WaitToKillServiceTimeout"="20000"
   Nuovo valore:
   • "WaitToKillServiceTimeout"="7000"

– HKLM\SOFTWARE\Microsoft\Security Center
   Valore precedente:
   • "UpdatesDisableNotify"=%impostazioni definite dell'utente%
   • "AntiVirusDisableNotify"=%impostazioni definite dell'utente%
   • "FirewallDisableNotify"=%impostazioni definite dell'utente%
   • "AntiVirusOverride"=%impostazioni definite dell'utente%
   • "FirewallOverride"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

Disattiva il firewall di Windows:
– HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   Nuovo valore:
   • "EnableFirewall"=dword:00000000

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   Valore precedente:
   • "AUOptions"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "AUOptions"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
   Valore precedente:
   • "Start"=dword:00000002
   Nuovo valore:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr
   Valore precedente:
   • "Start"=dword:00000003
   Nuovo valore:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
   Valore precedente:
   • "Start"=dword:00000002
   Nuovo valore:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\Messenger
   Valore precedente:
   • "Start"=dword:00000002
   Nuovo valore:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Valore precedente:
   • "restrictanonymous"=dword:00000000
   Nuovo valore:
   • "restrictanonymous"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Ole
   Valore precedente:
   • "EnableDCOM"="Y"
   Nuovo valore:
   • "EnableDCOM"="N"

Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– AIM Messenger

“Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
• IPC$
• ADMIN$

Exploit:
Sfrutta le seguenti vulnerabilità:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.

Esecuzione remota:
–Tenta di pianificare una esecuzione remota del malware, sulla macchina “infettata” recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: ircstyle**********
Porta: 6667
Password del server: nadjoe
Canale: #yourzniff
Nickname: [P00|USA|%numero%]
Password: x

– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Utente corrente
    • Spazio libero su disco
    • Memoria libera
    • Uptime del malware
    • Informazioni sulla rete
    • Informazioni sui processi in corso
    • Informazioni sul sistema operativo Windows

– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • Disattivare DCOM
    • disconnettere dal server IRC
    • Download di file
    • Modificare il registro
    • Attivare DCOM
    • Eseguire file
    • Connettersi al canale IRC
    • Terminare il processo
    • Abbandonare il canale IRC
    • Aprire condivisione remota
    • Eseguire un attacco DdoS
    • Effettuare scansione della rete
    • Registrare un servizio
    • Arrestare il sistema
    • Iniziare procedura di diffusione
    • Aggiornarsi

Varie Mutex:
Crea il seguente Mutex:
• ^M˜A

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Teodor Onisor su venerdì 22 settembre 2006
Descrizione aggiornata da Teodor Onisor su lunedì 25 settembre 2006

Indietro . . . .