Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Sdbot.53675.17
Scoperto:20/11/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:53.675 Byte
Somma di controllo MD5:1df9bdd2d3b20Ad20B1199a46b90febe
Versione VDF:6.36.01.52
Versione IVDF:6.36.01.55 - lunedì 20 novembre 2006

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Kaspersky: Backdoor.Win32.SdBot.aad
   •  Sophos: Mal/Behav-001
   •  VirusBuster: Worm.SdBot.EKM
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.SDBot.AAD


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Clona un file maligno
   • Modifica del registro
   • Sfrutta la vulnerabilit del software
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %WINDIR%\svchost.exe



Rinomina il seguente file:

      %SYSDIR%\sfc_os.dll in %SYSDIR%\trash%stringa casuale di cinque caratteri%



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%SYSDIR%\sfc_os.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Sfc.A.mod

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win32 Service
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"="%WINDIR%\svchost.exe"
   • "DisplayName"="Generic Host Process for Win32 Service"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valori esadecimali%
   • "Description"="Generic Host Process for Win32 Service"



Vengono aggiunte le seguenti chiavi di registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "onliney"="%data corrente%"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "SFCScan"=dword:00000000
   • "SFCDisable"=dword:ffffff9d

 Infezione della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa pi copie di se stesso nelle seguenti condivisioni di rete:
   • d$\windows\system32c$\
   • d$\winnt\system32
   • c$\windows\system32
   • c$\winnt\system32
   • Admin$\system32
   • Admin$


Exploit:
Sfrutta le seguenti vulnerabilit:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS05-039 (Vulnerability in Plug and Play)
 MS06-040 (Vulnerability in Server Service)


Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.


Esecuzione remota:
Tenta di pianificare una esecuzione remota del malware, sulla macchina infettata recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: mail.telon-servers.net
Porta: 7412
Canale: #
Nickname: [P00|USA| %stringa casuale di otto caratteri%]

Server: http.an1malmating.com
Porta: 9632
Canale: #
Nickname: [P00|USA| %stringa casuale di otto caratteri%]



 Questo malware ha la capacit di recuperare ed inviare informazioni quali:
     Indirizzi email recuperati
    • Velocit della CPU
     Dettagli sui driver
    • Spazio libero su disco
    • Memoria libera
    • Informazioni sulla rete
    • Informazioni sui processi in corso
    • Dimensione della memoria
    • Nome Utente
    • Informazioni sul sistema operativo Windows


 In pi ha la capacit di effettuare azioni quali:
    • Disattivare le condivisioni di rete
     disconnettere dal server IRC
    • Download di file
    • Modificare il registro
    • Attivare le condivisioni di rete
    • Eseguire file
    • Connettersi al canale IRC
    • Terminare il processo
    • Abbandonare il canale IRC
    • Aprire condivisione remota
     Effettuare scansione della rete
     Registrare un servizio
    • Terminare il processo

 Processi terminati Prova a terminare i seguenti processi e a cancellare i file corrispondenti:
   • bbeagle.exe; d3dupdate.exe; i11r54n4.exe; irun4.exe; MSBLAST.exe;
      mscvb32.exe; PandaAVEngine.exe; Penis32.exe; rate.exe; ssate.exe;
      sysinfo.exe; taskmon.exe; teekids.exe; winsys.exe


 Backdoor Contatta il server:
Tutti i seguenti:
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check**********
   • http://www.kinchan.net/cgi-bin/**********
   • http://www.pistarnow.is.net.pl/**********
   • http://cgi.break.power.ne.jp/check/**********
   • http://www.proxy4free.info/cgi-bin/**********
   • http://69.59.137.236/cgi/**********
   • http://tutanchamon.ovh.org/**********
   • http://www.proxy.us.pl/**********
   • http://test.anonproxies.com/**********
   • http://www.nassc.com/**********
   • http://www.littleworld.pe.kr/**********
   • http://www.anonymitytest.com/cgi-bin/**********
   • http://tn0828-web.hp.infoseek.co.jp/cgi-bin/**********


 Varie Mutex:
Crea il seguente Mutex:
   • y3o2o6q7m4b9

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Irina Boldea su mercoledì 31 gennaio 2007
Descrizione aggiornata da Irina Boldea su mercoledì 31 gennaio 2007

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.