Worm/SdBot.571392.1 - Worm

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	Worm/SdBot.571392.1
Scoperto:	20/02/2008
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio-Alto
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	571.392 Byte
Somma di controllo MD5:	672ebe523a7ebd0A884b5cb7d7dd3888
Versione IVDF:	7.00.02.168

Generale Metodi di propagazione:
   • Rete locale
   • Peer to Peer

Alias:
   • Mcafee: W32/Sdbot.worm
   • Kaspersky: Backdoor.Win32.SdBot.cqd
   • F-Secure: Backdoor.Win32.SdBot.cqd
   • Sophos: W32/Sdbot-DKD
   • Grisoft: IRC/BackDoor.SdBot3.YIN
   • Eset: IRC/SdBot
   • Bitdefender: Backdoor.SDBot.DFPJ

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

File Si copia alla seguente posizione:
• %WINDIR%\svchost.exe

Cancella la copia di se stesso eseguita inizialmente.

Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win-32 Service]
   • Type = 110
   • Start = 2
   • ErrorControl = 0
   • ImagePath = %WINDIR%\svchost.exe
   • DisplayName = Generic Host Process for Win-32 Service
   • ObjectName = LocalSystem
   • FailureActions = %valori esadecimali%
   • Description = Generic Host Process for Win-32 Service

– [HKLM\SYSTEM\CurrentControlSet\Services\
   Generic Host Process for Win-32 Service\Security]
   • Security = %valori esadecimali%

Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   Nuovo valore:
   • %stringa di caratteri casuale% = %file eseguiti%

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • shell = explorer.exe
   Nuovo valore:
   • shell = explorer.exe %WINDIR%\svchost.exe

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuovo valore:
   • sfcdisable = 1113997
   • sfcscan = 0

– [HKLM\Software\Microsoft\Security Center]
   Nuovo valore:
   • antivirusdisablenotify = 1
   • antivirusoverride = 1
   • firewalldisablenotify = 1
   • firewalloverride = 1
   • updatesdisablenotify = 1

– [HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate]
   Nuovo valore:
   • donotallowxpsp2 = 1

– [HKLM\Software\Symantec\LiveUpdate Admin]
   Nuovo valore:
   • enterprise security manager = 1
   • ghost = 1
   • intruder alert = 1
   • liveadvisor = 1
   • liveupdate = 1
   • netrecon = 1
   • norton antivirus product updates = 1
   • norton antivirus virus definitions = 1
   • norton cleansweep = 1
   • norton commander = 1
   • norton internet security = 1
   • norton Systemworks = 1
   • norton utilities = 1
   • pc handyman and healthypc = 1
   • pcanywhere = 1
   • rescue disk = 1
   • symantec desktop firewall = 1
   • symantec gateway security ids = 1
   • symevent = 1

– [HKLM\System\CurrentControlSet\Services\wscsvc]
   Nuovo valore:
   • start = 4

– [HKLM\Software\Microsoft\OLE]
   Nuovo valore:
   • enabledcom = 78

– [HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update]
   Nuovo valore:
   • auoptions = 1

– [HKLM\System\CurrentControlSet\Control\ServiceCurrent]
   Nuovo valore:
   • @ = 9

– [HKLM\System\CurrentControlSet\Control]
   Nuovo valore:
   • waittokillservicetimeout = 7000

– [HKLM\System\CurrentControlSet\Control\LSA]
   Nuovo valore:
   • restrictanonymous = 1

– [HKLM\System\CurrentControlSet\Services\LanManServer\Parameters]
   Nuovo valore:
   • autoshareserver = 0
   • autosharewks = 0

– [HKLM\System\CurrentControlSet\Services\LanManWorkstation\
   Parameters]
   Nuovo valore:
   • autoshareserver = 0
   • autosharewks = 0

– [HKLM\System\CurrentControlSet\Services\Messenger]
   Nuovo valore:
   • start = 4

– [HKLM\System\CurrentControlSet\Services\RemoteRegistry]
   Nuovo valore:
   • start = 4

– [HKLM\System\CurrentControlSet\Services\tlntsvr]
   Nuovo valore:
   • start = 4

Disattiva il firewall di Windows XP:
– [HKLM\Software\Policies\Microsoft\WindowsFirewall\DomainProfile]
   Nuovo valore:
   • enablefirewall = 0

– [HKLM\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]
   Nuovo valore:
   • enablefirewall = 0

Disattiva il Regedit e il Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Nuovo valore:
   • disableregistrytools = 1
   • disabletaskmgr = 1

P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:

– Recupera la cartella condivisa interrogando la seguente chiave di registro:
• SOFTWARE\Kazaa\LocalContent\DownloadDir

“Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Exploit:
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS04-007 (ASN.1 Vulnerability)
–MS06-040 (Vulnerability in Server Service)

Processo virale:
Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.

IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: www.worldcasino.to
Porta: 80
Nickname: [P00|USA|%numero%]

– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Password memorizzate nella cache
    • Velocità della CPU
    • Utente corrente
    • Dettagli sui driver
    • Spazio libero su disco
    • Memoria libera
    • Uptime del malware
    • Informazioni sui processi in corso
    • Dimensione della memoria
    • Nome Utente
    • Informazioni sul sistema operativo Windows

– In più ha la capacità di effettuare azioni quali:
    • Lanciare un attacco DdoS ICMP
    • Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS UDP
    • Disattivare le condivisioni di rete
    • Download di file
    • Modificare il registro
    • Attivare le condivisioni di rete
    • Eseguire file
    • Connettersi al canale IRC
    • Terminare il processo
    • Abbandonare il canale IRC
    • Aprire condivisione remota
    • Eseguire un attacco DdoS
    • Effettuare scansione della rete
    • Iniziare procedura di diffusione
    • Terminare il malware
    • Terminare il processo

Backdoor Contatta il server:
Uno dei seguenti:
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/**********
   • http://www.kinchan.net/cgi-bin/**********
   • http://www.pistarnow.is.net.pl/**********
   • http://cgi.break.power.ne.jp/check/**********
   • http://www.proxy4free.info/cgi-bin/**********
   • http://69.59.137.236/cgi/**********
   • http://tutanchamon.ovh.org/**********
   • http://www.proxy.us.pl/**********
   • http://test.anonproxies.com/**********
   • http://www.nassc.com/**********
   • http://www.littleworld.pe.kr/**********
   • http://www.anonymitytest.com/cgi-bin/**********
   • http://tn0828-web.hp.infoseek.co.jp/cgi-bin/**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto.

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password registrate utilizzate dalla funzione di completamento automatico
– Le informazioni sull'account email sono ottenute dalla chiave di registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

Varie Verifica la presenza di una connessione ad internet contattando il seguente sito web:
   • www.google.com

Anti debugging
Verifica se uno dei seguenti programmi è in esecuzione:
   • Softice
   • Wine
   • FileMon
   • Regmon

Se riuscito viene terminato immediatamente.
Se riuscito, non crea alcun file.

File patching:
Ha la capacità di modificare il file sfc_os.dll alla riga 0000E2B8 con lo scopo di disabilitare la Windows File Protection (WFP). Con il WFP si intende evitare alcuni dei problemi comuni che causano incompatibilità tra le DLL.

Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Andrei Gherman il Mon, 16 Jun 2008 10:18 (GMT+1)
Descrizione aggiornata da Robert Harja Iliescu il Thu, 24 Jul 2008 13:15 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro