VírusWorm/SdBot.138752.8
Data em que surgiu:20/08/2007
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:138.752 Bytes
MD5 checksum:5101877e880Eae72419d17cef84ee9b9
Versão IVDF:6.39.01.22 - segunda-feira, 20 de agosto de 2007

 Vulgarmente Meio de transmissão:
   • Messenger


Alias:
   •  Mcafee: W32/Sdbot.worm
   •  Kaspersky: Backdoor.Win32.SdBot.blt
   •  Eset: Win32/IRCBot.YW


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega ficheiros
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\winsyshp.exe



Copia-se dentro de um ficheiro para a localização seguinte:
   • %WINDIR%\img317.zip



Elimina o seguinte ficheiro:
   • C:\a.bat



É criado o seguinte ficheiro:

– C:\a.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %SYSDIR%\net.exe
Executa o ficheiro com um dos seguintes parâmetros: stop "Security Center"


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\net.exe
Executa o ficheiro com um dos seguintes parâmetros: stop winvnc4


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\net1.exe
Executa o ficheiro com um dos seguintes parâmetros: stop "Security Center"


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\net1.exe
Executa o ficheiro com um dos seguintes parâmetros: stop winvnc4

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Visual Application"="winsyshp.exe"

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– Windows Live Messenger


Mensagem
A mensagem enviada parece-se com uma das seguintes:

   • Why is this picture blurry?

   • Look @ my new car?

   • Where did you find this picture?

   • why did you show me this picture?

   • look at my baby picture

   • Did you see this?

   • Where is this picture taken?

   • Did you take this picture?

   • you drunk 2 much in this picture

   • Why are you naked in this picture?

   • look @ this

   • accept this picture

   • hey, mom my just told me 2 show this 2 you


Propagação por ficheiro
Envia um ficheiro com o seguinte nome :
   • img317.zip

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: pwn.basecore.**********
Porta: 1863
Palavra-chave do servidor: letmein
Canal #PWN#
Nickname: %uma série de caracteres aleatórios%
Palavra-chave torrent



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Tempo de vida do malware
    • Informação sobre o sistema operativo Windows


– Para além disso tem a capacidade de executar as seguintes acções:
    • Desliga-se do servidor de IRC
    • Download de ficheiros
    • Executa o ficheiro
    • Termina processos
    • Reinicia
    • Inicia a rotina de propagação
    • Actualiza-se a ele próprio

 Terminar o processo  Lista de serviços desactivados:
   • Security Center
   • winvnc4

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • fjasdf

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Adriana Popa em sexta-feira, 9 de novembro de 2007
Descrição atualizada por Adriana Popa em sexta-feira, 9 de novembro de 2007

Voltar . . . .