VírusWorm/Sdbot.129024.27
Data em que surgiu:30/11/2006
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Baixo
Ficheiro estático:Sim
Tamanho:129.024 Bytes
MD5 checksum:f50ba23cf5bf5a3c0d65b28bdd346282
Versão VDF:6.35.01.99
Versão IVDF:6.35.01.100 - quarta-feira, 16 de agosto de 2006

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Grisoft: IRC/BackDoor.SdBot2.GDM
   •  Eset: Win32/IRCBot.SW
   •  Bitdefender: Trojan.FirewallBypass


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Bloqueia o acesso a determinados Web sites
   • Desactiva aplicações de segurança
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\shoutcast.exe



Apaga a cópia executada inicialmente.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "SHOUTCAST for Windows NT"="shoutcast.exe"



A chave seguinte é adicionada (num loop infinito) ao registo, para executar os processos depois de reinicializar.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SHOUTCAST for Windows NT"="shoutcast.exe"



Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\shoutcast.exe"="%SYSDIR%\shoutcast.exe:*:Enabled:SHOUTCAST
      for Windows NT"



É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\ProductName\ProductID]


Altera as seguintes chaves de registo do Windows:

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
   Valor anterior:
   • "Start"=%definições do utilizador %
   Valor recente:
   • "Start"=dword:00000004

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
   Valor anterior:
   • "DoNotAllowXPSP2"=%definições do utilizador %
     "DoNotAllowXPSP3"=%definições do utilizador %
   Valor recente:
   • "DoNotAllowXPSP2"=dword:00000001
     "DoNotAllowXPSP3"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\security center]
   Valor anterior:
   • "FirewallDisableNotify"=%definições do utilizador %
     "UpdatesDisableNotify"=%definições do utilizador %
     "AntiVirusDisableNotify"=%definições do utilizador %
     "AntiVirusOverride"=%definições do utilizador %
     "FirewallOverride"=%definições do utilizador %
   Valor recente:
   • "FirewallDisableNotify"=dword:00000001
     "UpdatesDisableNotify"=dword:00000001
     "AntiVirusDisableNotify"=dword:00000001
     "AntiVirusOverride"=dword:00000001
     "FirewallOverride"=dword:00000001

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • C$
   • D$


Usa a seguinte informação de login para ganhar acesso à máquina remota:

–Nomes de utilizador e palavras-chave guardadas.

– Uma lista de nomes de utilizador e palavras-chave:
   • www; windows; web; visitor; test2; test1; test; temp; telnet; ruler;
      remote; real; random; qwerty; public; pub; private; poiuytre;
      password; passwd; pass; oracle; one; nopass; nobody; nick; newpass;
      new; network; monitor; money; manager; mail; login; internet; install;
      hello; guest; free; demo; default; debug; database; crew; computer;
      coffee; bin; beta; backup; backdoor; anonymous; anon; alpha; adm;
      access; abc123; abc; system; sys; super; sql; shit; shadow; setup;
      security; secure; secret; 123456789; 12345678; 1234567; 123456; 12345;
      1234; 123; 00000000; 0000000; 000000; 00000; 0000; 000; server;
      administrateur; root; admin



Exploit:
Faz uso dos seguintes Exploits:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)


Criação de endereços IP:
Cria endereços IP aleatórios enquanto mantém os primeiros dois octetos do seu próprio endereço. Depois tenta estabelecer uma ligação com os endereços criados.


Processo de infecção:
Cria um script FTP na máquina infectada para permitir o download do malware da máquina atacante.


Execução remota:
–Tenta programar uma execução remota do malware, na máquina recentemente infectada. Então usa a função de NetScheduleJobAdd.

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: fbi32.cheapdf.**********
Porta: 9568
Canal #asn
Nickname: %Versão do Windows%|USA|%dois caracteres aleatórios%
Palavra-chave owned



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Utilizador Actual
    • Informações sobre a rede


– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Lança DDoS SYN floods
    • Lança DDoS UDP floods
    • Desactiva partilhas de rede
    • Download de ficheiros
    • Activa partilhas de rede
    • Ligação ao canal IRC
    • Executa pesquisas na rede
    • Envia emails
    • Actualiza-se a ele próprio
    • Visita um Web site

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso valores existentes serão alterados.

– O acesso aos seguintes domínios é redireccionado para outros destinos:
   • www.virustotal.com
   • virusscan.jotti.org
   • sandbox.norman.no




O ficheiro hospedeiro (alterado) terá a seguinte aparência:


 Terminar o processo A seguinte lista de processos são terminados:
   • taskmgr.exe; process.exe; mmc.exe; regedit32.exe; regedit.exe;
      msconfig.exe; pccpfw.exe; kpf4gui.exe; fsguiexe.exe; efpeadm.exe;
      persfw.exe; zlclient.exe; Smc.exe; fsdfwd.exe; blackd.exe;
      MpfService.exe; nisum.exe; hijackthis.exe; MSASCui.exe; MsMpEng.exe;
      unregaaw.exe; blindman.exe; TeaTimer.exe; SpyCatcher.exe;
      swdoctor.exe; Tmas.exe; MssCli.exe; PPActiveDetection.exe;
      SpySweeper.exe; sunasServ.exe; Ad-Aware.exe; SpybotSD.exe;
      gcasServ.exe; Tmntsrv.exe; avgcc.exe; AVENGINE.EXE; ashAvast.exe;
      AVWIN.EXE; ntrtscan.exe; Mcshield.exe; fsav32.exe; AVKWCtl.exe;
      NAVAPSVC.exe


 Informações diversas Mutex:


Cria um dos Mutexes seguinte:
   • prison
   • owned

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • ENIGMA

Descrição enviada por Monica Ghitun em quinta-feira, 30 de novembro de 2006
Descrição atualizada por Monica Ghitun em quinta-feira, 11 de janeiro de 2007

Voltar . . . .