Nome del virus:Worm/SdBot.41984.42
Scoperto:07/08/2007
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:41.984 Byte
Somma di controllo MD5:8f8b66e936ba101efc6e3cb5d1dec814
Versione IVDF:6.39.00.219 - martedì 7 agosto 2007

 Generale Metodo di propagazione:
   • Messenger


Alias:
   •  Mcafee: W32/Checkout
   •  Kaspersky: Backdoor.Win32.SdBot.aad
   •  F-Secure: Backdoor.Win32.SdBot.aad
   •  Sophos: W32/Imagine-A
   •  Panda: W32/MSNPoopy.A.worm
   •  Grisoft: IRC-Worm/Delf.CF
   •  Eset: Win32/IRCBot.XZ
   •  Bitdefender: Backdoor.Sdbot.AUX


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Duplica file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %WINDIR%\svchost.exe



Copia se stesso dentro un archivio nella seguente posizione:
   • %WINDIR%\img1756.zip



Cancella il seguente file:
   • C:\a.bat



Viene creato il seguente file:

– C:\a.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.



Prova ad eseguire i seguenti file:

– Nome del file:
   • %SYSDIR%\net.exe
utilizzando i seguenti parametri: stop "Security Center"


– Nome del file:
   • %SYSDIR%\net.exe
utilizzando i seguenti parametri: stop winvnc4


– Nome del file:
   • %SYSDIR%\net1.exe
utilizzando i seguenti parametri: stop "Security Center"


– Nome del file:
   • %SYSDIR%\net1.exe
utilizzando i seguenti parametri: stop winvnc4

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Genuine Logon"="svchost.exe"

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– Windows Live Messenger


Messaggio
Il messaggio inviato sarà tipo uno dei seguenti:

   • look @ my cute new puppy :-D

   • look @ this picture of me, when I was a kid

   • I just took this picture with my webcam, like it?

   • check it, i shaved my head

   • have u seen my new hair?

   • what the fuck, did you see this?

   • hey man, did you take this picture?


Propagazione via file
Invia un file con il seguente nome:
   • img1756.zip

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: vpn.basecore.**********
Porta: 1863
Password del server: letmein
Canale: #VPN#
Nickname: %stringa di caratteri casuale%
Password: torrent



– Questo malware ha la capacità di raccogliere ed inviare le seguenti informazioni:
    • Uptime del malware
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • disconnettere dal server IRC
    • Download di file
    • Eseguire file
    • Terminare il processo
    • Riavviare il sistema
    • Iniziare procedura di diffusione
    • Aggiornarsi

 Processi terminati  I seguenti servizi vengono disattivati:
   • Security Center
   • winvnc4

 Varie Mutex:
Crea il seguente Mutex:
   • JFangaY

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Adriana Popa su venerdì 9 novembre 2007
Descrizione aggiornata da Adriana Popa su venerdì 9 novembre 2007

Indietro . . . .