Devi aggiustare il tuo PC?
Assumi un esperto
Nome del virus:Worm/SdBot.208896.6
Scoperto:18/11/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:208.896 Byte
Somma di controllo MD5:2AB4B169221714C52AAF14E48A8E09E3
Versione VDF:6.32.00.192

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Symantec: W32.Spybot.Worm
   •  Kaspersky: Backdoor.Win32.SdBot.ain
   •  TrendMicro: WORM_RBOT.CUE
   •  Sophos: W32/Sdbot-AOL
   •  Grisoft: IRC/BackDoor.SdBot.OQE
   •  Eset: IRC/SdBot
   •  Bitdefender: Win32.Worm.Mybot.IP


Piattaforme / Sistemi operativi:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Clona un file “maligno”
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %WINDIR%\gcxsrvc.exe



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%SYSDIR%\drivers\rofl.sys Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Aimbot.AF.5

 Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\GCX Service]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%WINDIR%\gcxsrvc.exe
   • "DisplayName"="GCX Service"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:%valori esadecimali%
   • "Description"="Provides Windows Access To Use The GCX Protocol"

– [HKLM\SYSTEM\CurrentControlSet\Services\GCX Service\Enum]
   • "0"="Root\\LEGACY_SVCWIN32UPDATE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\GCX Service\Security]
   • "Security"=hex:%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\rofl]
   • "Type"=dword:00000001
   • "Start"=dword:00000003
   • "ErrorControl"=dword:00000001
   • "ImagePath"=hex(2):%SYSDIR%\drivers\rofl.sys
   • "DisplayName"="rofl"

– [HKLM\SYSTEM\CurrentControlSet\Services\rofl\Security]
   • "Security"=hex:%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\rofl\Enum]
   • "0"="Root\\LEGACY_ROFL\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Il valore della seguente chiave di registro viene rimosso:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   • "MK"="%directory di esecuzione del malware%\%file eseguiti%"



Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   • "IT"="%data corrente%, %ora corrente%"
   • "RU"=%caratteri double-byte%
   • "MK"="%directory di esecuzione del malware%\%file eseguiti%"



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   Valore precedente:
   • "AUOptions"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "AUOptions"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
   Valore precedente:
   • "EnableFirewall"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "EnableFirewall"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
   Valore precedente:
   • "EnableFirewall"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "EnableFirewall"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valore precedente:
   • "UpdatesDisableNotify"=%impostazioni definite dell'utente%
   • "AntiVirusDisableNotify"=%impostazioni definite dell'utente%
   • "FirewallDisableNotify"=%impostazioni definite dell'utente%
   • "AntiVirusOverride"=%impostazioni definite dell'utente%
   • "FirewallOverride"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Valore precedente:
   • "restrictanonymous"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "restrictanonymous"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   Valore precedente:
   • "AutoShareWks"=%impostazioni definite dell'utente%
   • "AutoShareServer"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\
   parameters]
   Valore precedente:
   • "AutoShareWks"=%impostazioni definite dell'utente%
   • "AutoShareServer"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
   Valore precedente:
   • "DoNotAllowXPSP2"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DoNotAllowXPSP2"=dword:00000001

– [HKLM\Software\Microsoft\OLE]
   Valore precedente:
   • "EnableDCOM"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "EnableDCOM"="N"

– [HKLM\SYSTEM\CurrentControlSet\Control]
   Valore precedente:
   • "WaitToKillServiceTimeout"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "WaitToKillServiceTimeout"="7000"

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
   • d$\windows\system32
   • d$\winnt\system32
   • c$\windows\system32
   • c$\winnt\system32
   • Admin$\system32
   • Admin$
   • IPC$
   • C$
   • %tutte le cartelle condivise%


Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

– Una lista di Nomi utente e Password:
   • admin; root; server; asdfgh; asdf; !@; $%^&; !@; $%^; !@; $%; !@; $;
      654321; 123456; 12345; 1234; 123; 111; administrator



Exploit:
Sfrutta le seguenti vulnerabilità:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.


Esecuzione remota:
–Tenta di pianificare una esecuzione remota del malware, sulla macchina “infettata” recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: please.syn-flood.**********
Porta: 7000
Password del server: 95A55AF65B1D42616B4D6C5
Canale: #GCX
Nickname: [%sistema operativo%|P|USA|%numero%]
Password: 5B7BB38F4BDF71513DEE624



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Velocità della CPU
    • Utente corrente
    • Dettagli sui driver
    • Spazio libero su disco
    • Memoria libera
    • Uptime del malware
    • Informazioni sulla rete
    • Informazioni sui processi in corso
    • Dimensione della memoria


– In più ha la capacità di effettuare azioni quali:
    • Lanciare un attacco DdoS ICMP
    • Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS UDP
    • Disattivare le condivisioni di rete
    • Download di file
    • Attivare le condivisioni di rete
    • Eseguire file
    • Connettersi al canale IRC
    • Terminare il processo
    • Effettuare scansione della rete
    • Effettuare un reindirizzamento delle porte
    • Iniziare procedura di diffusione
    • Aggiornarsi

 Processi terminati  I seguenti servizi vengono disattivati:
   • Windows Firewall/ICS
   • Security Center
   • Messenger
   • Remote Registry
   • Telnet

 Backdoor Contatta il server:
Uno dei seguenti:
   • http://hpcgi1.nifty.com/mute/c/**********
   • http://www.age.ne.jp/x/maxwell/cgi-bin/**********
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/**********
   • http://cgi14.plala.or.jp/little_w/**********
   • http://yia.s22.xrea.com/**********
   • http://www.kinchan.net/cgi-bin/**********

Questo viene fatto tramite la richiesta HTTP GET in uno script CGI.

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password registrate utilizzate dalla funzione di completamento automatico
– Le informazioni sull'account email sono ottenute dalla chiave di registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Le password dai seguenti programmi:
   • MSN
   • Outlook Express
   • AOL Instant Messenger

 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • http://windowsupdate.microsoft.com


Anti debugging
Verifica se il seguente programma è in esecuzione:
   • SoftIce


 Tecnologia Rootkit È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.


Nasconde il seguente:
– Il proprio processo

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Iulia Diaconescu su giovedì 26 ottobre 2006
Descrizione aggiornata da Iulia Diaconescu su lunedì 6 novembre 2006

Indietro . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tutti i diritti riservati.

Il Mio Account

https:// Questa finestra è criptata per tua sicurezza.