Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/SdBot.571392.1
Scoperto:20/02/2008
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:571.392 Byte
Somma di controllo MD5:672ebe523a7ebd0A884b5cb7d7dd3888
Versione IVDF:7.00.02.168 - mercoledì 20 febbraio 2008

 Generale Metodi di propagazione:
   • Rete locale
   • Peer to Peer


Alias:
   •  Mcafee: W32/Sdbot.worm
   •  Kaspersky: Backdoor.Win32.SdBot.cqd
   •  F-Secure: Backdoor.Win32.SdBot.cqd
   •  Sophos: W32/Sdbot-DKD
   •  Grisoft: IRC/BackDoor.SdBot3.YIN
   •  Eset: IRC/SdBot
   •  Bitdefender: Backdoor.SDBot.DFPJ


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sfrutta la vulnerabilit del software
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %WINDIR%\svchost.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

[HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win-32 Service]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %WINDIR%\svchost.exe
   • DisplayName = Generic Host Process for Win-32 Service
   • ObjectName = LocalSystem
   • FailureActions = %valori esadecimali%
   • Description = Generic Host Process for Win-32 Service

[HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win-32 Service\Security]
   • Security = %valori esadecimali%



Vengono cambiate le seguenti chiavi di registro:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   Nuovo valore:
   • %stringa di caratteri casuale% = %file eseguiti%

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • shell = explorer.exe
   Nuovo valore:
   • shell = explorer.exe %WINDIR%\svchost.exe

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuovo valore:
   • sfcdisable = 1113997
   • sfcscan = 0

[HKLM\Software\Microsoft\Security Center]
   Nuovo valore:
   • antivirusdisablenotify = 1
   • antivirusoverride = 1
   • firewalldisablenotify = 1
   • firewalloverride = 1
   • updatesdisablenotify = 1

[HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate]
   Nuovo valore:
   • donotallowxpsp2 = 1

[HKLM\Software\Symantec\LiveUpdate Admin]
   Nuovo valore:
   • enterprise security manager = 1
   • ghost = 1
   • intruder alert = 1
   • liveadvisor = 1
   • liveupdate = 1
   • netrecon = 1
   • norton antivirus product updates = 1
   • norton antivirus virus definitions = 1
   • norton cleansweep = 1
   • norton commander = 1
   • norton internet security = 1
   • norton Systemworks = 1
   • norton utilities = 1
   • pc handyman and healthypc = 1
   • pcanywhere = 1
   • rescue disk = 1
   • symantec desktop firewall = 1
   • symantec gateway security ids = 1
   • symevent = 1

[HKLM\System\CurrentControlSet\Services\wscsvc]
   Nuovo valore:
   • start = 4

[HKLM\Software\Microsoft\OLE]
   Nuovo valore:
   • enabledcom = 78

[HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   Nuovo valore:
   • auoptions = 1

[HKLM\System\CurrentControlSet\Control\ServiceCurrent]
   Nuovo valore:
   • @ = 9

[HKLM\System\CurrentControlSet\Control]
   Nuovo valore:
   • waittokillservicetimeout = 7000

[HKLM\System\CurrentControlSet\Control\LSA]
   Nuovo valore:
   • restrictanonymous = 1

[HKLM\System\CurrentControlSet\Services\LanManServer\Parameters]
   Nuovo valore:
   • autoshareserver = 0
   • autosharewks = 0

[HKLM\System\CurrentControlSet\Services\LanManWorkstation\
   Parameters]
   Nuovo valore:
   • autoshareserver = 0
   • autosharewks = 0

[HKLM\System\CurrentControlSet\Services\Messenger]
   Nuovo valore:
   • start = 4

[HKLM\System\CurrentControlSet\Services\RemoteRegistry]
   Nuovo valore:
   • start = 4

[HKLM\System\CurrentControlSet\Services\tlntsvr]
   Nuovo valore:
   • start = 4

Disattiva il firewall di Windows:
[HKLM\Software\Policies\Microsoft\WindowsFirewall\DomainProfile]
   Nuovo valore:
   • enablefirewall = 0

[HKLM\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]
   Nuovo valore:
   • enablefirewall = 0

Disattiva il Regedit e il Task Manager:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Nuovo valore:
   • disableregistrytools = 1
   • disabletaskmgr = 1

 P2P Per infettare altri sistemi della comunit della rete Peer to Peer, viene eseguita la seguente azione:


   Recupera la cartella condivisa interrogando la seguente chiave di registro:
   • SOFTWARE\Kazaa\LocalContent\DownloadDir


 Infezione della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Exploit:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)
 MS06-040 (Vulnerability in Server Service)


Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: www.worldcasino.to
Porta: 80
Nickname: [P00|USA|%numero%]



 Questo malware ha la capacit di recuperare ed inviare informazioni quali:
    • Password memorizzate nella cache
    • Velocit della CPU
    • Utente corrente
     Dettagli sui driver
    • Spazio libero su disco
    • Memoria libera
    • Uptime del malware
    • Informazioni sui processi in corso
    • Dimensione della memoria
    • Nome Utente
    • Informazioni sul sistema operativo Windows


 In pi ha la capacit di effettuare azioni quali:
     Lanciare un attacco DdoS ICMP
     Lanciare un attacco DdoS SYN
     Lancia un attacco DdoS UDP
    • Disattivare le condivisioni di rete
    • Download di file
    • Modificare il registro
    • Attivare le condivisioni di rete
    • Eseguire file
    • Connettersi al canale IRC
    • Terminare il processo
    • Abbandonare il canale IRC
    • Aprire condivisione remota
    • Eseguire un attacco DdoS
     Effettuare scansione della rete
     Iniziare procedura di diffusione
    • Terminare il malware
    • Terminare il processo

 Backdoor Contatta il server:
Uno dei seguenti:
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/**********
   • http://www.kinchan.net/cgi-bin/**********
   • http://www.pistarnow.is.net.pl/**********
   • http://cgi.break.power.ne.jp/check/**********
   • http://www.proxy4free.info/cgi-bin/**********
   • http://69.59.137.236/cgi/**********
   • http://tutanchamon.ovh.org/**********
   • http://www.proxy.us.pl/**********
   • http://test.anonproxies.com/**********
   • http://www.nassc.com/**********
   • http://www.littleworld.pe.kr/**********
   • http://www.anonymitytest.com/cgi-bin/**********
   • http://tn0828-web.hp.infoseek.co.jp/cgi-bin/**********

Come risultato pu inviare informazioni e potrebbe venire fornito il controllo remoto.

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
 Le password registrate utilizzate dalla funzione di completamento automatico
 Le informazioni sull'account email sono ottenute dalla chiave di registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

 Varie  Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • www.google.com


Anti debugging
Verifica se uno dei seguenti programmi in esecuzione:
   • Softice
   • Wine
   • FileMon
   • Regmon

Se riuscito viene terminato immediatamente.
Se riuscito, non crea alcun file.


File patching:
Ha la capacit di modificare il file sfc_os.dll alla riga 0000E2B8 con lo scopo di disabilitare la Windows File Protection (WFP). Con il WFP si intende evitare alcuni dei problemi comuni che causano incompatibilit tra le DLL.

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su lunedì 16 giugno 2008
Descrizione aggiornata da Robert Harja Iliescu su giovedì 24 luglio 2008

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.