Worm/Sdbot.61703 - Worm

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	Worm/Sdbot.61703
Data em que surgiu:	29/11/2006
Tipo:	Worm
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Médio
Nível de risco:	Baixo
Ficheiro estático:	Sim
Tamanho:	61.703 Bytes
MD5 checksum:	7cf8119e86ef39f40c178e6b908b2b0e
Versão VDF:	6.36.00.147
Versão IVDF:	6.36.00.164

Vulgarmente Meios de transmissão:
   • Rede local
   • Messenger

Alias:
   • Kaspersky: Backdoor.Win32.SdBot.xd
   • Grisoft: IRC/BackDoor.SdBot2.KKN
   • Eset: IRC/SdBot

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega um ficheiro
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

Ficheiros Apaga a cópia executada inicialmente.

É criado o seguinte ficheiro:

– %TEMPDIR%\removeMe%quatro caracteres aleatórios%.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.

Messenger Propaga-se através do Messenger. Tem as seguintes características:

– AIM Messenger

Infecção da rede Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • IPC$
   • C$
   • D$
   • D$\windows\system32
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$

Usa a seguinte informação de login para ganhar acesso à máquina remota:

–Nomes de utilizador e palavras-chave guardadas.

– Uma lista de nomes de utilizador e palavras-chave:
   • server; asdfgh; asdf; !@; $%^&; !@; $%^; !@; $%; !@; $; 654321;
      123456; 12345; 1234; 123; 111; root; admin; administrator

Exploit:
Faz uso dos seguintes Exploits:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)

Criação de endereços IP:
Cria endereços IP aleatórios e tenta estabelecer uma ligação com eles.
Cria endereços IP aleatórios enquanto mantém o primeiro octeto do seu próprio endereço. Depois tenta estabelecer uma ligação com os endereços criados.

Processo de infecção:
Cria um script FTP na máquina infectada para permitir o download do malware da máquina atacante.

Execução remota:
–Tenta programar uma execução remota do malware, na máquina recentemente infectada. Então usa a função de NetScheduleJobAdd.

IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: kirsty.4n4rchy99.**********
Porta: 61521
Palavra-chave do servidor: deddyman
Canal #q0
Nickname: [P00|USA|%número% ]

– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Velocidade do CPU
    • Utilizador Actual
    • Detalhes acerca dos drivers
    • Espaço disponível no disco
    • Memória disponível
    • Tempo de vida do malware
    • Informações sobre a rede
    • Capacidade da memória
    • Informação sobre o sistema operativo Windows

– Para além disso tem a capacidade de executar as seguintes acções:
    • Lança DDoS ICMP floods
    • Desactiva partilhas de rede
    • Download de ficheiros
    • Activa partilhas de rede
    • Ligação ao canal IRC
    • Abandona canais IRC
    • Ataque de Negação de Serviços (ataque DoS)
    • Executa pesquisas na rede
    • Envia emails
    • Termina processos
    • Actualiza-se a ele próprio

Terminar o processo Lista de serviços desactivados:
   • Security Center
   • Windows Firewall/ICS
   • Remote Registry
   • Telnet
   • wscsvc
   • SharedAccess
   • Messenger
   • RemoteRegistry
   • Tlntsvr

Backdoor Contacta o servidor:
Seguinte:
• http://www.4n4rchy99.info/**********

Como resultado pode enviar alguma informação.

Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave guardadas e que são usadas pela função AutoComplete
– Informações da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– As palavras-chave dos seguintes programas:
   • POP3 Server
   • Hotmail
   • HTTPMail
   • Outlook Express
   • MSN
   • IE Explorer

Informações diversas Anti debugging
Confirma se o seguinte programa está a ser executado:
• SoftIce

Detalhes do ficheiro Linguagem de programação:
Ficheiro escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Veja aqui uma breve descrição.

Descrição adicionada por Monica Ghitun em Wed, 29 Nov 2006 15:54 (GMT+1)
Descrição adicionada por Monica Ghitun em Thu, 21 Dec 2006 11:59 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back