Имя:Worm/Sdbot.129024.27
Обнаружен:30/11/2006
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Низкий
Файл статистики:Да
Размер файла:129.024 байт.
Контрольная сумма MD5:f50ba23cf5bf5a3c0d65b28bdd346282
Версия VDF:6.35.01.99
Версия IVDF:6.35.01.100 - среда, 16 августа 2006 г.

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Grisoft: IRC/BackDoor.SdBot2.GDM
   •  Eset: Win32/IRCBot.SW
   •  Bitdefender: Trojan.FirewallBypass


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Блокирует доступ к различным веб-сайтам
   • Отключение приложений безопасности
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Использует уязвимость ПО
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\shoutcast.exe



Выполненная копия программы удаляется.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "SHOUTCAST for Windows NT"="shoutcast.exe"



Добавляется ключ реестра (бесконечный цикл) для повторного запуска процесса после перезагрузки системы.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SHOUTCAST for Windows NT"="shoutcast.exe"



Создание следующего элемента для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\shoutcast.exe"="%SYSDIR%\shoutcast.exe:*:Enabled:SHOUTCAST
      for Windows NT"



Добавляется следующий ключ реестра:

– [HKLM\SOFTWARE\ProductName\ProductID]


Изменяются следующие ключи реестра:

– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
   Прежнее значение:
   • "Start"=%Настройки пользователя%
   Новое значение:
   • "Start"=dword:00000004

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
   Прежнее значение:
   • "DoNotAllowXPSP2"=%Настройки пользователя%
     "DoNotAllowXPSP3"=%Настройки пользователя%
   Новое значение:
   • "DoNotAllowXPSP2"=dword:00000001
     "DoNotAllowXPSP3"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\security center]
   Прежнее значение:
   • "FirewallDisableNotify"=%Настройки пользователя%
     "UpdatesDisableNotify"=%Настройки пользователя%
     "AntiVirusDisableNotify"=%Настройки пользователя%
     "AntiVirusOverride"=%Настройки пользователя%
     "FirewallOverride"=%Настройки пользователя%
   Новое значение:
   • "FirewallDisableNotify"=dword:00000001
     "UpdatesDisableNotify"=dword:00000001
     "AntiVirusDisableNotify"=dword:00000001
     "AntiVirusOverride"=dword:00000001
     "FirewallOverride"=dword:00000001

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующие сетевые ресурсы общего доступа:
   • C$
   • D$


Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:

–Закэшированные имена пользователей и пароли.

– Список имен пользователей и паролей:
   • www; windows; web; visitor; test2; test1; test; temp; telnet; ruler;
      remote; real; random; qwerty; public; pub; private; poiuytre;
      password; passwd; pass; oracle; one; nopass; nobody; nick; newpass;
      new; network; monitor; money; manager; mail; login; internet; install;
      hello; guest; free; demo; default; debug; database; crew; computer;
      coffee; bin; beta; backup; backdoor; anonymous; anon; alpha; adm;
      access; abc123; abc; system; sys; super; sql; shit; shadow; setup;
      security; secure; secret; 123456789; 12345678; 1234567; 123456; 12345;
      1234; 123; 00000000; 0000000; 000000; 00000; 0000; 000; server;
      administrateur; root; admin



Эксплойт:
Используются следующие бреши в безопасности:
– MS02-061 (повышение привилегий в SQL Server Web)
– MS04-007 (Уязвимость ASN.1)


Генарация IP адресов:
Создаются случайные IP адреса. Первые два блока созданного IP адреса совпадают с реальным собственным. Осуществляется попытка установить соединение с этим адресом.


Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.


Удаленная активация:
–Осуществляется попытка запуска вредоносной программы на вновь зараженном компьютере. Это реализируется с помощью функции NetScheduleJobAdd.

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: fbi32.cheapdf.**********
Порт: 9568
Канал: #asn
Имя: %версия Windows%|USA|%случайная комбинация из двух букв%
Пароль: owned



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Текущий пользователь
    • Информация о сети


– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • Начать DDoS SYN атаку
    • Запускается DDoS UDP атака
    • Отключить сетевые папки общего доступа
    • Загрузить файл
    • Подключить сетевые папки общего доступа
    • Войти в чат-комнату IRC
    • Проверка сети
    • Отправить электронную почту
    • Обновляется самостоятельно
    • Посещение веб-страницы

 Хосты Хост файл изменяется следующим образом:

– В этом случае удаляются существующие строки.

– При попытке получить доступ к следующим доменам запрос перенаправляется на другой адрес:
   • www.virustotal.com
   • virusscan.jotti.org
   • sandbox.norman.no




Модифицированный хост-файл выглядит следующим образом:


 Завершение процесса Список завершаемых процессов:
   • taskmgr.exe; process.exe; mmc.exe; regedit32.exe; regedit.exe;
      msconfig.exe; pccpfw.exe; kpf4gui.exe; fsguiexe.exe; efpeadm.exe;
      persfw.exe; zlclient.exe; Smc.exe; fsdfwd.exe; blackd.exe;
      MpfService.exe; nisum.exe; hijackthis.exe; MSASCui.exe; MsMpEng.exe;
      unregaaw.exe; blindman.exe; TeaTimer.exe; SpyCatcher.exe;
      swdoctor.exe; Tmas.exe; MssCli.exe; PPActiveDetection.exe;
      SpySweeper.exe; sunasServ.exe; Ad-Aware.exe; SpybotSD.exe;
      gcasServ.exe; Tmntsrv.exe; avgcc.exe; AVENGINE.EXE; ashAvast.exe;
      AVWIN.EXE; ntrtscan.exe; Mcshield.exe; fsav32.exe; AVKWCtl.exe;
      NAVAPSVC.exe


 Разное Мьютекс:


Создается один из следующих мьютексов:
   • prison
   • owned

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • ENIGMA

Описание добавил Monica Ghitun в(о) четверг, 30 ноября 2006 г.
Описание обновил Monica Ghitun в(о) четверг, 11 января 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.