ウイルスWorm/Sdbot.53675.17
発見日:20/11/2006
タイプワーム
感染報告有りはい
感染報告
感染の可能性
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ53.675 バイト
MD5 チェックサム1df9bdd2d3b20Ad20B1199a46b90febe
VDFファージョン:6.36.01.52
IVDFファージョン:6.36.01.55 - 2006年11月20日月曜日

 一般情報 感染方法
   • ローカル・ネットワーク


別名
   •  Kaspersky: Backdoor.Win32.SdBot.aad
   •  Sophos: Mal/Behav-001
   •  VirusBuster: Worm.SdBot.EKM
   •  Eset IRC/SdBot
   •  Bitdefender: Backdoor.SDBot.AAD


プラットフォーム/OS:
   • Windows 95
   • Windows 98
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用
   • 悪意ファイルを作成します。
   • レジストリの改変。
   • ソフトの脆弱性を利用します。
   • サード・パーティ・コントロール

 ファイル それ自体を以下の場所にコピーします。
   • %WINDIR%\svchost.exe



以下のファイルの名前を変更します:

    •  %SYSDIR%\sfc_os.dll %SYSDIR%\trash%5桁のランダムな文字列%



最初に実行したコピーの方を削除します。



以下のファイルが作成されます:

%SYSDIR%\sfc_os.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/Sfc.A.mod

 レジストリ 以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:

– HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win32 Service
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"="%WINDIR%\svchost.exe"
   • "DisplayName"="Generic Host Process for Win32 Service"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%hex値%
   • "Description"="Generic Host Process for Win32 Service"



以下のレジストリ・キーが追加されます:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
   • "onliney"="%現在の日付%"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "SFCScan"=dword:00000000
   • "SFCDisable"=dword:ffffff9d

 ネットワーク感染 感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。

以下のネットワーク・シェアにそれ自身のコピーを作成します:
   • d$\windows\system32c$\
   • d$\winnt\system32
   • c$\windows\system32
   • c$\winnt\system32
   • Admin$\system32
   • Admin$


エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
– MS02-061 (SQL Server Web タスクで権限が昇格する)
– MS05-039 (プラグ・アンド・プレイの脆弱性)
– MS06-040 : Windows の重要な更新 Server サービスの脆弱性により、リモートでコードが実行される (921883)


感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにFTPスクリプトを作成します。


リモート実行:
–新しく感染したマシンに、マルウェアのリモート実行を開始しようとします。そのため、NetScheduleJobAdd機能を利用します。

 IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:

サーバ mail.telon-servers.net
ポート: 7412
チャンネル #
ニックネーム [P00|USA| %8桁のランダムな文字列%]

サーバ http.an1malmating.com
ポート: 9632
チャンネル #
ニックネーム [P00|USA| %8桁のランダムな文字列%]



– このマルウェアは以下の情報を収集し送る能力があります:
    • 収集されたメールアドレス
    • CPU速度
    • ドライバの詳細
    • 空きディスク容量
    • 空きメモリ
    • ネットワークについての情報
    • 起動中のプロセスについての情報
    • メモリサイズ
    • ユーザーネーム
    • ウインドウズOSについての情報


– その他以下のアクションを実行することもできます:
    • ネットワークシェアを無効にする
    • IRCサーバとの接続を終了します。
    • ダウンロード・ファイル
    • レジストリの編集
    • ネットワークシェアを有効にする
    • 実行ファイル
    • IRCチャンネルに入室する
    • プロセスを強制終了する
    • IRCチャンネルを退室する
    • リモートシェルを開く
    • ネットワーク・スキャンの実行
    • サービスの登録
    • プロセスを終了する

 プロセス中断 以下のプロセスを中断し、そのプロセスが属するファイルを削除しようとします:
   • bbeagle.exe; d3dupdate.exe; i11r54n4.exe; irun4.exe; MSBLAST.exe;
      mscvb32.exe; PandaAVEngine.exe; Penis32.exe; rate.exe; ssate.exe;
      sysinfo.exe; taskmon.exe; teekids.exe; winsys.exe


 バックドア サーバに接続します。
以下のもの:
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check**********
   • http://www.kinchan.net/cgi-bin/**********
   • http://www.pistarnow.is.net.pl/**********
   • http://cgi.break.power.ne.jp/check/**********
   • http://www.proxy4free.info/cgi-bin/**********
   • http://69.59.137.236/cgi/**********
   • http://tutanchamon.ovh.org/**********
   • http://www.proxy.us.pl/**********
   • http://test.anonproxies.com/**********
   • http://www.nassc.com/**********
   • http://www.littleworld.pe.kr/**********
   • http://www.anonymitytest.com/cgi-bin/**********
   • http://tn0828-web.hp.infoseek.co.jp/cgi-bin/**********


 その他 Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
   • y3o2o6q7m4b9

 ファイルの詳細 プログラム言語:
 このマルウェアプログラムはMS Visual C++で書かれています。


ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Irina Boldea の 2007年1月31日水曜日
説明の更新者 Irina Boldea の 2007年1月31日水曜日

戻る . . . .

© 2013 Avira Operations GmbH & Co. KG. All rights reserved.

マイアカウント

https:// このウィンドウは暗号化されています。