Worm/SdBot.137728.3 - Worm

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	Worm/SdBot.137728.3
Scoperto:	23/08/2005
Tipo:	Worm
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	137,728 Byte
Somma di controllo MD5:	ed93fa4c20115d1e5265ff410907d63b
Versione VDF:	6.31.1.150

Generale Metodi di propagazione:
   • Rete locale

Alias:
   • Symantec: W32.Spybot.Worm
   • Mcafee: W32/Sdbot.worm.gen.br
   • Kaspersky: Backdoor.Win32.SdBot.adr
   • TrendMicro: WORM_RBOT.CCJ
   • Sophos: W32/Rbot-AKY
   • VirusBuster: Worm.SdBot.BDV
   • Bitdefender: Backdoor.Rbot.AKY

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Scarica un file “maligno”
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Accesso e controllo del computer da parte di terzi

File Si copia alla seguente posizione:
   • %SYSDIR%\updater.pif

Cancella la copia di se stesso eseguita inizialmente.

Cancella il seguente file:
   • %SYSDIR%\updater.pif

Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %TEMPDIR%\%casuale%.exe
   • %temporary internet files%\new.gif
   • %temporary internet files%\news.gif

– %TEMPDIR%\del.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.

Prova a scaricare un file:

– La posizione è la seguente:
   • http://200.79.160.**********/new.gif
Viene salvato in locale sotto: %SYSDIR%\update32.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://200.79.160.**********/news.gif
Viene salvato in locale sotto: %sysdir%\updating.pif Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Update Service"="update32.pif"
   • "Windows Update Service"="updatings.pif"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Update Service"="update32.pif"
   • "Windows Update Service"="updatings.pif"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows Update Service"="update32.pif"
   • "Windows Update Service"="updatings.pif"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • "Windows Update Service"="update32.pif"
   • "Windows Update Service"="updatings.pif"

– [HKLM\SOFTWARE\Microsoft\Ole]
   • "Windows Update Service"="update32.pif"
   • "Windows Update Service"="updatings.pif"

– [HKCU\Software\Microsoft\OLE]
   • "Windows Update Service"="update32.pif"
   • "Windows Update Service"="updatings.pif"

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • "Windows Update Service"="update32.pif"
   • "Windows Update Service"="updatings.pif"

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • "Windows Update Service"="update32.pif"
   • "Windows Update Service"="updatings.pif"

I valori della seguente chiave di registro vengono rimossi:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • MS Windows Security Updater

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • MS Windows Security Updater

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • MS Windows Security Updater

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices]
   • MS Windows Security Updater

– [HKLM\SOFTWARE\Microsoft\Ole]
   • MS Windows Security Updater

– [HKCU\Software\Microsoft\OLE]
   • MS Windows Security Updater

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   • MS Windows Security Updater

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • MS Windows Security Updater

– [HKLM\SOFTWARE\Microsoft\Ole]
   • "Windows Update Service"="update32.pif"

“Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Exploit:
Sfrutta le seguenti vulnerabilità:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali e prova a stabilire una connessione.

Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.

IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: **********.update.updates32.biz
Porta: 4654
Password del server: gringle
Canale: #z0wb#
Nickname: %stringa casuale di otto caratteri%
Password: shabby123

Server: **********.update.security32.biz
Porta: 4564
Password del server: gringle
Canale: #z0wb#
Nickname: %stringa casuale di otto caratteri%
Password: shabby123

Server: **********.update.updates32.biz
Porta: 65529
Password del server: gringle
Canale: #z0wb#
Nickname: %stringa casuale di otto caratteri%
Password: shabby123

Server: **********.update.security32.biz
Porta: 65528
Password del server: gringle
Canale: #z0wb#
Nickname: %stringa casuale di otto caratteri%
Password: shabby123

– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Informazioni sulla rete
    • Attività locale dell'utente

– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • disconnettere dal server IRC
    • Download di file
    • Eseguire file
    • Connettersi al canale IRC
    • Abbandonare il canale IRC
    • Aprire condivisione remota
    • Iniziare procedura di diffusione
    • Aggiornarsi

Varie Mutex:
Crea il seguente Mutex:
   • zewb

Crea uno dei seguenti Mutex:
   • updaterr
   • updatings

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Iulia Diaconescu il Wed, 24 Aug 2005 16:14 (GMT+1)
Descrizione aggiornata da Iulia Diaconescu il Mon, 05 Sep 2005 08:32 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro