Nome del virus:Worm/Sdbot.129024.27
Scoperto:30/11/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Basso
File statico:Si
Dimensione del file:129.024 Byte
Somma di controllo MD5:f50ba23cf5bf5a3c0d65b28bdd346282
Versione VDF:6.35.01.99
Versione IVDF:6.35.01.100 - mercoledì 16 agosto 2006

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Grisoft: IRC/BackDoor.SdBot2.GDM
   •  Eset: Win32/IRCBot.SW
   •  Bitdefender: Trojan.FirewallBypass


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Blocca l'accesso a certi siti web
   • Disattiva le applicazioni di sicurezza
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\shoutcast.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "SHOUTCAST for Windows NT"="shoutcast.exe"



La seguente chiave di registro è aggiunta continuamente in un loop infinito, con lo scopo di eseguire il processo dopo il riavvio.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SHOUTCAST for Windows NT"="shoutcast.exe"



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\shoutcast.exe"="%SYSDIR%\shoutcast.exe:*:Enabled:SHOUTCAST
      for Windows NT"



Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\ProductName\ProductID]


Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
   Valore precedente:
   • "Start"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Start"=dword:00000004

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
   Valore precedente:
   • "DoNotAllowXPSP2"=%impostazioni definite dell'utente%
     "DoNotAllowXPSP3"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DoNotAllowXPSP2"=dword:00000001
     "DoNotAllowXPSP3"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\security center]
   Valore precedente:
   • "FirewallDisableNotify"=%impostazioni definite dell'utente%
     "UpdatesDisableNotify"=%impostazioni definite dell'utente%
     "AntiVirusDisableNotify"=%impostazioni definite dell'utente%
     "AntiVirusOverride"=%impostazioni definite dell'utente%
     "FirewallOverride"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "FirewallDisableNotify"=dword:00000001
     "UpdatesDisableNotify"=dword:00000001
     "AntiVirusDisableNotify"=dword:00000001
     "AntiVirusOverride"=dword:00000001
     "FirewallOverride"=dword:00000001

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
   • C$
   • D$


Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

–Nomi Utente e Password presenti nella cache.

– Una lista di Nomi utente e Password:
   • www; windows; web; visitor; test2; test1; test; temp; telnet; ruler;
      remote; real; random; qwerty; public; pub; private; poiuytre;
      password; passwd; pass; oracle; one; nopass; nobody; nick; newpass;
      new; network; monitor; money; manager; mail; login; internet; install;
      hello; guest; free; demo; default; debug; database; crew; computer;
      coffee; bin; beta; backup; backdoor; anonymous; anon; alpha; adm;
      access; abc123; abc; system; sys; super; sql; shit; shadow; setup;
      security; secure; secret; 123456789; 12345678; 1234567; 123456; 12345;
      1234; 123; 00000000; 0000000; 000000; 00000; 0000; 000; server;
      administrateur; root; admin



Exploit:
Sfrutta le seguenti vulnerabilità:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi due ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.


Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.


Esecuzione remota:
–Tenta di pianificare una esecuzione remota del malware, sulla macchina “infettata” recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: fbi32.cheapdf.**********
Porta: 9568
Canale: #asn
Nickname: %versione di Windows%|USA|%stringa casuale di due caratteri%
Password: owned



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Utente corrente
    • Informazioni sulla rete


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS UDP
    • Disattivare le condivisioni di rete
    • Download di file
    • Attivare le condivisioni di rete
    • Connettersi al canale IRC
    • Effettuare scansione della rete
    • Inviare email
    • Aggiornarsi
    • Visitare un sito web

 Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti vengono cancellati.

– L'accesso ai seguenti domini è reindirizzato ad altre destinazioni:
   • www.virustotal.com
   • virusscan.jotti.org
   • sandbox.norman.no




L'host del file modificato sarà del tipo:


 Processi terminati Lista dei processi che vengono terminati:
   • taskmgr.exe; process.exe; mmc.exe; regedit32.exe; regedit.exe;
      msconfig.exe; pccpfw.exe; kpf4gui.exe; fsguiexe.exe; efpeadm.exe;
      persfw.exe; zlclient.exe; Smc.exe; fsdfwd.exe; blackd.exe;
      MpfService.exe; nisum.exe; hijackthis.exe; MSASCui.exe; MsMpEng.exe;
      unregaaw.exe; blindman.exe; TeaTimer.exe; SpyCatcher.exe;
      swdoctor.exe; Tmas.exe; MssCli.exe; PPActiveDetection.exe;
      SpySweeper.exe; sunasServ.exe; Ad-Aware.exe; SpybotSD.exe;
      gcasServ.exe; Tmntsrv.exe; avgcc.exe; AVENGINE.EXE; ashAvast.exe;
      AVWIN.EXE; ntrtscan.exe; Mcshield.exe; fsav32.exe; AVKWCtl.exe;
      NAVAPSVC.exe


 Varie Mutex:


Crea uno dei seguenti Mutex:
   • prison
   • owned

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • ENIGMA

Descrizione inserita da Monica Ghitun su giovedì 30 novembre 2006
Descrizione aggiornata da Monica Ghitun su giovedì 11 gennaio 2007

Indietro . . . .