Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Sdbot.53675.8
Scoperto:05/11/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:53.675 Byte
Somma di controllo MD5:478d1492c949d6423bb5a4505e084a5e
Versione VDF:6.36.00.213
Versione IVDF:6.36.00.237 - domenica 5 novembre 2006

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Kaspersky: Backdoor.Win32.SdBot.aad
   •  Sophos: Mal/Behav-001
   •  VirusBuster: Worm.SdBot.EKM
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.SDBot.AAD


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Clona un file “maligno”
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %WINDIR%\iexplore.exe



Rinomina il seguente file:

    •  %SYSDIR%\sfc_os.dll in %SYSDIR%\trash%stringa casuale di cinque caratteri%



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%SYSDIR%\sfc_os.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Sfc.A.mod

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– HKLM\SYSTEM\CurrentControlSet\Services\Windows Internet Service
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\iexplore.exe"
   • "DisplayName"="Windows Internet Service"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valori esadecimali%
   • "Description"="Windows Internet Service"



Vengono aggiunte le seguenti chiavi di registro:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "onliney"="%data corrente%"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "SFCScan"=dword:00000000
   • "SFCDisable"=dword:ffffff9d

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
   • d$\windows\system32c$\
   • d$\winnt\system32
   • c$\windows\system32
   • c$\winnt\system32
   • Admin$\system32
   • Admin$


Exploit:
Sfrutta le seguenti vulnerabilità:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS05-039 (Vulnerability in Plug and Play)
– MS06-040 (Vulnerability in Server Service)


Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.


Esecuzione remota:
–Tenta di pianificare una esecuzione remota del malware, sulla macchina “infettata” recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: mail.telon-**********
Porta: 7412
Canale: #
Nickname: [P00|USA| %stringa casuale di otto caratteri%]

Server: http.an1mal**********
Porta: 9632
Canale: #
Nickname: [P00|USA| %stringa casuale di otto caratteri%]



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Indirizzi email recuperati
    • Velocità della CPU
    • Dettagli sui driver
    • Spazio libero su disco
    • Memoria libera
    • Informazioni sulla rete
    • Informazioni sui processi in corso
    • Dimensione della memoria
    • Nome Utente
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • Disattivare le condivisioni di rete
    • disconnettere dal server IRC
    • Download di file
    • Modificare il registro
    • Attivare le condivisioni di rete
    • Eseguire file
    • Connettersi al canale IRC
    • Terminare il processo
    • Abbandonare il canale IRC
    • Aprire condivisione remota
    • Effettuare scansione della rete
    • Registrare un servizio
    • Terminare il processo

 Processi terminati Prova a terminare i seguenti processi e a cancellare i file corrispondenti:
   • bbeagle.exe; d3dupdate.exe; i11r54n4.exe; irun4.exe; MSBLAST.exe;
      mscvb32.exe; PandaAVEngine.exe; Penis32.exe; rate.exe; ssate.exe;
      sysinfo.exe; taskmon.exe; teekids.exe; winsys.exe


 Backdoor Contatta il server:
Tutti i seguenti:
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check**********
   • http://www.kinchan.net/cgi-bin/**********
   • http://www.pistarnow.is.net.pl/**********
   • http://cgi.break.power.ne.jp/check/**********
   • http://www.proxy4free.info/cgi-bin/**********
   • http://69.59.137.236/cgi/**********
   • http://tutanchamon.ovh.org/**********
   • http://www.proxy.us.pl/**********
   • http://test.anonproxies.com/**********
   • http://www.nassc.com/**********
   • http://www.littleworld.pe.kr/**********
   • http://www.anonymitytest.com/cgi-bin/**********
   • http://tn0828-web.hp.infoseek.co.jp/cgi-bin/**********


 Varie Mutex:
Crea il seguente Mutex:
   • e4s2j7q1i1l5

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Irina Boldea su mercoledì 31 gennaio 2007
Descrizione aggiornata da Irina Boldea su mercoledì 31 gennaio 2007

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.