Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Sdbot.53675.7
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:53.675 Byte
Somma di controllo MD5:a86b3f776bd1128c7fe8d4ec7dab9ba2
Versione VDF:6.36.00.213
Versione IVDF:6.36.00.237 - domenica 5 novembre 2006

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Kaspersky: Backdoor.Win32.SdBot.aad
   •  Sophos: W32/Tilebot-HW
   •  VirusBuster: Worm.SdBot.EKM
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.Sdbot.J


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Clona un file maligno
   • Modifica del registro
   • Sfrutta la vulnerabilit del software
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %WINDIR%\lsass.exe



Rinomina il seguente file:

      %SYSDIR%\sfc_os.dll in %SYSDIR%\trash%stringa casuale di cinque caratteri%



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

%SYSDIR%\sfc_os.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: TR/Sfc.A.mod

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

HKLM\SYSTEM\CurrentControlSet\Services\LSA Shel (Export Version)
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\lsass.exe"
   • "DisplayName"="LSA Shel (Export Version)"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valori esadecimali%
   • "Description"="LSA Shel (Export Version)"



Vengono aggiunte le seguenti chiavi di registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "p3g9s4o2h8v1"="%data corrente%"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "SFCScan"=dword:00000000
   • "SFCDisable"=dword:ffffff9d

 Infezione della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa pi copie di se stesso nelle seguenti condivisioni di rete:
   • d$\windows\system32c$\
   • d$\winnt\system32
   • c$\windows\system32
   • c$\winnt\system32
   • Admin$\system32
   • Admin$


Exploit:
Sfrutta le seguenti vulnerabilit:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)
 MS06-040 (Vulnerability in Server Service)


Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.


Esecuzione remota:
Tenta di pianificare una esecuzione remota del malware, sulla macchina infettata recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: mail.telon-**********
Porta: 7412
Canale: #
Nickname: [P00|USA| %stringa casuale di otto caratteri%]

Server: http.an1mal**********
Porta: 9632
Canale: #
Nickname: [P00|USA| %stringa casuale di otto caratteri%]



 Questo malware ha la capacit di recuperare ed inviare informazioni quali:
     Indirizzi email recuperati
    • Velocit della CPU
     Dettagli sui driver
    • Spazio libero su disco
    • Memoria libera
    • Informazioni sulla rete
    • Informazioni sui processi in corso
    • Dimensione della memoria
    • Nome Utente
    • Informazioni sul sistema operativo Windows


 In pi ha la capacit di effettuare azioni quali:
    • Disattivare le condivisioni di rete
     disconnettere dal server IRC
    • Download di file
    • Modificare il registro
    • Attivare le condivisioni di rete
    • Eseguire file
    • Connettersi al canale IRC
    • Terminare il processo
    • Abbandonare il canale IRC
    • Aprire condivisione remota
     Effettuare scansione della rete
     Registrare un servizio
    • Terminare il processo

 Processi terminati Prova a terminare i seguenti processi e a cancellare i file corrispondenti:
   • bbeagle.exe; d3dupdate.exe; i11r54n4.exe; irun4.exe; MSBLAST.exe;
      mscvb32.exe; PandaAVEngine.exe; Penis32.exe; rate.exe; ssate.exe;
      sysinfo.exe; taskmon.exe; teekids.exe; winsys.exe


 Backdoor Contatta il server:
Tutti i seguenti:
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check**********
   • http://www.kinchan.net/cgi-bin/**********
   • http://www.pistarnow.is.net.pl/**********
   • http://cgi.break.power.ne.jp/check/**********
   • http://www.proxy4free.info/cgi-bin/**********
   • http://69.59.137.236/cgi/**********
   • http://tutanchamon.ovh.org/**********
   • http://www.proxy.us.pl/**********
   • http://test.anonproxies.com/**********
   • http://www.nassc.com/**********
   • http://www.littleworld.pe.kr/**********
   • http://www.anonymitytest.com/cgi-bin/**********
   • http://tn0828-web.hp.infoseek.co.jp/cgi-bin/**********


 Varie Mutex:
Crea il seguente Mutex:
   • 9lcgm4w6f8

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Irina Boldea su martedì 30 gennaio 2007
Descrizione aggiornata da Irina Boldea su mercoledì 31 gennaio 2007

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.