Descrizione completa

Nome del virus:	Worm/Sdbot.39936.13
Scoperto:	12/08/2006
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	39.936 Byte
Somma di controllo MD5:	EDECDE54249650429D8BDFD1DB6B3B27
Versione VDF:	6.35.01.84 - sabato 12 agosto 2006
Versione IVDF:	6.35.01.84 - sabato 12 agosto 2006

Generale Metodo di propagazione:
   • Rete locale

Alias:
   • Symantec: W32.Spybot.Worm
   • Sophos: W32/Sdbot-BND
   • VirusBuster: Worm.SdBot.CQJ
   • Eset: IRC/SdBot

Piattaforme / Sistemi operativi:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

File Si copia alla seguente posizione:
• %WINDIR%\svchostwin32

Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\SVCWin32Update]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%WINDIR%\svchostwin32
   • "DisplayName"="Win32 Network Update"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:%valori esadecimali%
   • "Description"="SVCWin32 Update"

– [HKLM\SYSTEM\CurrentControlSet\Services\SVCWin32Update\Enum]
   • "0"="Root\\LEGACY_SVCWIN32UPDATE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\SVCWin32Update\Security]
   • "Security"=hex:%valori esadecimali%

Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   Valore precedente:
   • "AUOptions"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "AUOptions"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
   Valore precedente:
   • "EnableFirewall"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "EnableFirewall"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
   Valore precedente:
   • "EnableFirewall"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "EnableFirewall"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valore precedente:
   • "UpdatesDisableNotify"=%impostazioni definite dell'utente%
   • "AntiVirusDisableNotify"=%impostazioni definite dell'utente%
   • "FirewallDisableNotify"=%impostazioni definite dell'utente%
   • "AntiVirusOverride"=%impostazioni definite dell'utente%
   • "FirewallOverride"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valore precedente:
   • "restrictanonymous"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "restrictanonymous"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   Valore precedente:
   • "AutoShareWks"=%impostazioni definite dell'utente%
   • "AutoShareServer"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\
   parameters]
   Valore precedente:
   • "AutoShareWks"=%impostazioni definite dell'utente%
   • "AutoShareServer"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
   Valore precedente:
   • "DoNotAllowXPSP2"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DoNotAllowXPSP2"=dword:00000001

– [HKLM\Software\Microsoft\OLE]
   Valore precedente:
   • "EnableDCOM"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control]
   Valore precedente:
   • "WaitToKillServiceTimeout"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "WaitToKillServiceTimeout"="7000"

“Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
   • C$
   • ADMIN$
   • IPC$
   • %tutte le cartelle condivise%

Exploit:
Sfrutta le seguenti vulnerabilità:
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali e prova a stabilire una connessione.

Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.
Il file scaricato viene allocato nella macchina compromessa come: %SYSDIR%\eraseme_%numero%.exe

Esecuzione remota:
–Tenta di pianificare una esecuzione remota del malware, sulla macchina “infettata” recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: free.backendportal.**********
Porta: 8080
Canale: #prom
Nickname: [P00|USA|%stringa di caratteri casuale%]
Password: tru00

Server: win32.onlinewebportal.**********
Porta: 8080
Canale: #prom
Nickname: [P00|USA|%stringa di caratteri casuale%]
Password: tru00

Server: free.backendportal.**********
Porta: 8080
Canale: #prom
Nickname: [P00|USA|%stringa di caratteri casuale%]
Password: tru00

Server: free.avupdates.**********
Porta: 8080
Canale: #prom
Nickname: [P00|USA|%stringa di caratteri casuale%]
Password: tru00

– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Uptime del malware
    • Informazioni sulla rete
    • Informazioni sui processi in corso

– In più ha la capacità di effettuare azioni quali:
    • Disattivare le condivisioni di rete
    • Download di file
    • Attivare le condivisioni di rete
    • Eseguire file
    • Connettersi al canale IRC
    • Terminare il processo
    • Effettuare scansione della rete
    • Arrestare il sistema
    • Iniziare procedura di diffusione
    • Aggiornarsi

Processi terminati I seguenti servizi vengono disattivati:
   • Windows Firewall/ICS
   • Security Center
   • Messenger
   • Remote Registry
   • Telnet

Varie Mutex:
Crea il seguente Mutex:
• Multiply NetAssets

Anti debugging
Verifica se il seguente programma è in esecuzione:
• SoftIce

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX

Descrizione inserita da Iulia Diaconescu su mercoledì 25 ottobre 2006
Descrizione aggiornata da Iulia Diaconescu su lunedì 6 novembre 2006

Indietro . . . .