Worm/Sdbot.80896 - Worm

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	Worm/Sdbot.80896
Data em que surgiu:	26/08/2005
Tipo:	Worm
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Médio
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	80.896 Bytes
MD5 checksum:	8e3d9a00158895be246046568332045a
Versão VDF:	6.31.1.158

Vulgarmente Meio de transmissão:
   • Rede local

Alias:
   • Symantec: W32.Spybot.Worm
   • Kaspersky: Trojan.Win32.Crypt.d
   • TrendMicro: WORM_SDBOT.CBS
   • VirusBuster: Worm.SdBot.BEH
   • Eset: Win32/Rbot

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP

Efeitos secundários:
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "li start up"="%ficheiro executado%"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "li start up"="%ficheiro executado%"

São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
   • "li start up"="%ficheiro executado%"

– HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
   • "li start up"="%ficheiro executado%

São adicionadas as seguintes chaves ao registo:

– HKLM\Software\Microsoft\OLE
   • "li start up"="%ficheiro executado%"

– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   • "li start up"="%ficheiro executado%"

– HKCU\Software\Microsoft\OLE
   • "li start up"="%ficheiro executado%"

– HKCU\SYSTEM\CurrentControlSet\Control\Lsa
   • "li start up"="%ficheiro executado%"

O seguinte valor do registo é alterado:

– HKLM\Software\Microsoft\OLE
   Valor anterior:
   • "EnableDCOM"="%definições do utilizador %"
   Valor recente:
   • "EnableDCOM"="Y"

Infecção da rede Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • "ipc$"
   • "print$"
   • "admin$"
   • "Admin$"

Usa a seguinte informação de login para ganhar acesso à máquina remota:

–Nomes de utilizador e palavras-chave guardadas.

– A seguinte lista de nomes de utilizadores:
   • Admin; Administrador; administrador; administrat; Administrateur;
      Administrator; Coordinatore; Guest; main; master; owner; root; server;
      student; supervisor; system; teacher; user; windows

– A seguinte lista de palavras-chave:
   • 7; 123; 777; 2600; abc; access; computer; Login; oem; oeminstall;
      OWNER; pass; password; pwd; qwerty; superuser; win2000; win2k; winnt;
      winxp; xxx

Exploit:
Faz uso do seguinte Exploit:
– MS04-011 (LSASS Vulnerability)

Criação de endereços IP:
Cria endereços IP aleatórios enquanto mantém os primeiros dois octetos do seu próprio endereço. Depois tenta estabelecer uma ligação com os endereços criados.

Processo de infecção:
Cria um script FTP na máquina infectada para permitir o download do malware da máquina atacante.

Lentidão:
– Dependendo da sua largura da banda poderá notar uma baixa de velocidade da rede. Como a actividade de rede para este malware é de nível médio se tiver uma ligação de banda larga o utilizador pode não se aperceber de nada.
– O utilizador também pode notar uma pequena baixa na velocidade devido aos múltiplos processos de rede criados.

IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: 83.133.125.**********
Porta: 24300
Canal #fftp
Nickname: [XP]|%random characters%
Palavra-chave abcnet

– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Velocidade do CPU
    • Utilizador Actual
    • Espaço disponível no disco
    • Memória disponível
    • Tempo de vida do malware
    • Informações sobre a rede
    • Informação sobre processos em execução
    • Capacidade da memória
    • Directório de sistema
    • Nome de utilizador

– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Desliga-se do servidor de IRC
    • Download de ficheiros
    • Editar o registo do Windows
    • Activa o DCOM
    • Executa o ficheiro
    • Ligação ao canal IRC
    • Termina processos
    • Abre ligações remotas
    • Ataque de Negação de Serviços (ataque DoS)
    • Executa pesquisas na rede
    • Desliga o sistema
    • Inicia a rotina de propagação
    • Termina processos
    • Actualiza-se a ele próprio

Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso valores existentes serão alterados.

– O acesso aos seguintes domínios é redireccionado para outros destinos:
   • avp.com; ca.com; customer.symantec.com; dispatch.mcafee.com;
      download.mcafee.com; f-secure.com; kaspersky.com; kaspersky-labs.com;
      liveupdate.symantec.com; liveupdate.symantecliveupdate.com;
      mast.mcafee.com; mcafee.com; my-etrust.com; nai.com;
      networkassociates.com; rads.mcafee.com; secure.nai.com;
      securityresponse.symantec.com; sophos.com; symantec.com;
      trendmicro.com; update.symantec.com; updates.symantec.com;
      us.mcafee.com; viruslist.com; www.avp.com; www.ca.com;
      www.f-secure.com; www.grisoft.com; www.jayloden.com;
      www.kaspersky.com; www.mcafee.com; www.my-etrust.com; www.nai.com;
      www.networkassociates.com; www.sophos.com; www.symantec.com;
      www.trendmicro.com; www.viruslist.com

Detalhes do ficheiro Linguagem de programação:
Ficheiro escrito em MS Visual C++.

Veja aqui uma breve descrição.

Descrição adicionada por Irina Boldea em Fri, 26 Aug 2005 18:43 (GMT+1)
Descrição adicionada por Irina Boldea em Tue, 30 Aug 2005 17:02 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back