Nome del virus:BDS/VanBot.N
Scoperto:21/09/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:91.648 Byte
Somma di controllo MD5:559d68d3f45da4bbc74ebb8fd425ecf0
Versione VDF:6.36.00.42
Versione IVDF:6.36.00.52 - venerdì 22 settembre 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: W32/Sdbot.worm!MS06-040
   •  Kaspersky: Backdoor.Win32.VanBot.n
   •  TrendMicro: WORM_SPYBOT.FC
   •  Sophos: W32/Spybot-MK


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\dllcache\grand.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– HKLM\SYSTEM\CurrentControlSet\Services\Italian Grand Prix
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\dllcache\grand.exe"
   • "DisplayName"="Italian Grand Prix"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%numero esadecimale%
   • "Description"="Italian Grand Prix."

– HKLM\SYSTEM\CurrentControlSet\Services\Italian Grand Prix\Enum
   • "0"="Root\LEGACY_ITALIAN_GRAND_PRIX\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Vengono cambiate le seguenti chiavi di registro:

Disattiva il firewall di Windows:
– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
   Nuovo valore:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
   Nuovo valore:
   • "Start"=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   Nuovo valore:
   • "restrictanonymous"=dword:00000001
   • "lmcompatibilitylevel"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Ole
   Nuovo valore:
   • "EnableDCOM"="N"

 “Infezione” della rete Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

– Una lista di Nomi utente e Password:
   • www; windows; web; visitor; test2; test1; test; temp; telnet; ruler;
      remote; real; random; qwerty; public; pub; private; poiuytre;
      password; passwd; pass; oracle; one; nopass; nobody; nick; newpass;
      new; network; monitor; money; manager; mail; login; internet; install;
      hello; guest; free; demo; default; debug; database; crew; computer;
      coffee; bin; beta; backup; backdoor; anonymous; anon; alpha; adm;
      access; abc123; abc; system; sys; super; sql; shit; shadow; setup;
      security; secure; secret; 123456789; 12345678; 1234567; 123456; 12345;
      1234; 123; 00000000; 0000000; 000000; 00000; 0000; 000; server;
      asdfgh; admin; root



Exploit:
Sfrutta le seguenti vulnerabilità:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS06-040 (Vulnerability in Server Service)


Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: grand.hottest.**********
Porta: 4915
Canale: #.vam.#
Nickname: [0]USA|%sistema operativo%[P]%numero%
Password: vnc


– In più ha la capacità di effettuare azioni quali:
    • Download di file
    • Connettersi al canale IRC
    • Aprire condivisione remota
    • Effettuare scansione della rete
    • Inizia keylog
    • Iniziare procedura di diffusione
    • Aggiornarsi

 Processi terminati I processi che contengono una delle seguenti stringhe vengono terminati:
   • Ad-aware; spyware; hijack; kav; proc; norton; mcafee; f-pro; lockdown;
      firewall; blackice; avg; vsmon; zonea; spybot; nod32; reged; avp;
      troja; viru; anti

I processi che contengono uno dei seguenti “titolo finestra” vengono terminati:
   • Ad-aware; spyware; hijack; kav; proc; norton; mcafee; f-pro; lockdown;
      firewall; blackice; avg; vsmon; zonea; spybot; nod32; reged; avp;
      troja; viru; anti


 Backdoor Viene aperta la seguente porta:

%SYSDIR%\dllcache\grand.exe su una porta TCP casuale con lo scopo di procurarsi un server FTP.

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Ionut Slaveanu su martedì 26 settembre 2006
Descrizione aggiornata da Andrei Ivanes su venerdì 20 ottobre 2006

Indietro . . . .