Nome del virus:Worm/SdBot.138752.8
Scoperto:20/08/2007
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:138.752 Byte
Somma di controllo MD5:5101877e880Eae72419d17cef84ee9b9
Versione IVDF:6.39.01.22 - lunedì 20 agosto 2007

 Generale Metodo di propagazione:
   • Messenger


Alias:
   •  Mcafee: W32/Sdbot.worm
   •  Kaspersky: Backdoor.Win32.SdBot.blt
   •  Eset: Win32/IRCBot.YW


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Duplica file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %WINDIR%\winsyshp.exe



Copia se stesso dentro un archivio nella seguente posizione:
   • %WINDIR%\img317.zip



Cancella il seguente file:
   • C:\a.bat



Viene creato il seguente file:

– C:\a.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.



Prova ad eseguire i seguenti file:

– Nome del file:
   • %SYSDIR%\net.exe
utilizzando i seguenti parametri: stop "Security Center"


– Nome del file:
   • %SYSDIR%\net.exe
utilizzando i seguenti parametri: stop winvnc4


– Nome del file:
   • %SYSDIR%\net1.exe
utilizzando i seguenti parametri: stop "Security Center"


– Nome del file:
   • %SYSDIR%\net1.exe
utilizzando i seguenti parametri: stop winvnc4

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Visual Application"="winsyshp.exe"

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– Windows Live Messenger


Messaggio
Il messaggio inviato sarà tipo uno dei seguenti:

   • Why is this picture blurry?

   • Look @ my new car?

   • Where did you find this picture?

   • why did you show me this picture?

   • look at my baby picture

   • Did you see this?

   • Where is this picture taken?

   • Did you take this picture?

   • you drunk 2 much in this picture

   • Why are you naked in this picture?

   • look @ this

   • accept this picture

   • hey, mom my just told me 2 show this 2 you


Propagazione via file
Invia un file con il seguente nome:
   • img317.zip

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: pwn.basecore.**********
Porta: 1863
Password del server: letmein
Canale: #PWN#
Nickname: %stringa di caratteri casuale%
Password: torrent



– Questo malware ha la capacità di raccogliere ed inviare le seguenti informazioni:
    • Uptime del malware
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • disconnettere dal server IRC
    • Download di file
    • Eseguire file
    • Terminare il processo
    • Riavviare il sistema
    • Iniziare procedura di diffusione
    • Aggiornarsi

 Processi terminati  I seguenti servizi vengono disattivati:
   • Security Center
   • winvnc4

 Varie Mutex:
Crea il seguente Mutex:
   • fjasdf

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Adriana Popa su venerdì 9 novembre 2007
Descrizione aggiornata da Adriana Popa su venerdì 9 novembre 2007

Indietro . . . .