English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/SdBot.571392.1
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/SdBot.571392.1 - Worm
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
Worm/SdBot.571392.1
発見日:
20/02/2008
タイプ
ワーム
感染報告有り
はい
感染報告
低
感染の可能性
中~高
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
571.392 バイト
MD5 チェックサム
672ebe523a7ebd0A884b5cb7d7dd3888
IVDFファージョン:
7.00.02.168
- Wed, 20 Feb 2008 15:18 (GMT+1)
一般情報
感染方法
• ローカル・ネットワーク
• P2P(ピアツーピア)
別名
• McAfee(マカフィー) W32/Sdbot.worm
• Kaspersky(カスペルスキー) Backdoor.Win32.SdBot.cqd
• F-Secure(エフ・セキュア) Backdoor.Win32.SdBot.cqd
• Sophos(ソフォス) W32/Sdbot-DKD
• Grisoft IRC/BackDoor.SdBot3.YIN
• Eset IRC/SdBot
• ビットディフェンダー(Bitdefender): Backdoor.SDBot.DFPJ
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• セキュリティ・アプリケーションを無効にします。
• セキュリティの設定を低くします。
• レジストリの改変。
• ソフトの脆弱性を利用します。
• 情報を盗みます。
• サード・パーティ・コントロール
ファイル
それ自体を以下の場所にコピーします。
•
%WINDIR%
\svchost.exe
最初に実行したコピーの方を削除します。
レジストリ
以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:
– [HKLM\SYSTEM\CurrentControlSet\Services\
Generic Host Process for Win-32 Service]
• Type = 110
• Start = 2
• ErrorControl = 0
• ImagePath =
%WINDIR%
\svchost.exe
• DisplayName = Generic Host Process for Win-32 Service
• ObjectName = LocalSystem
• FailureActions =
%hex値%
• Description = Generic Host Process for Win-32 Service
– [HKLM\SYSTEM\CurrentControlSet\Services\
Generic Host Process for Win-32 Service\Security]
• Security =
%hex値%
以下のレジストリ・キーは変更されます:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
新しい値
•
%ランダムな文字列%
=
%実行ファイル%
– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
前の値
• shell = explorer.exe
新しい値
• shell = explorer.exe
%WINDIR%
\svchost.exe
– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
新しい値
• sfcdisable = 1113997
• sfcscan = 0
– [HKLM\Software\Microsoft\Security Center]
新しい値
• antivirusdisablenotify = 1
• antivirusoverride = 1
• firewalldisablenotify = 1
• firewalloverride = 1
• updatesdisablenotify = 1
– [HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate]
新しい値
• donotallowxpsp2 = 1
– [HKLM\Software\Symantec\LiveUpdate Admin]
新しい値
• enterprise security manager = 1
• ghost = 1
• intruder alert = 1
• liveadvisor = 1
• liveupdate = 1
• netrecon = 1
• norton antivirus product updates = 1
• norton antivirus virus definitions = 1
• norton cleansweep = 1
• norton commander = 1
• norton internet security = 1
• norton Systemworks = 1
• norton utilities = 1
• pc handyman and healthypc = 1
• pcanywhere = 1
• rescue disk = 1
• symantec desktop firewall = 1
• symantec gateway security ids = 1
• symevent = 1
– [HKLM\System\CurrentControlSet\Services\wscsvc]
新しい値
• start = 4
– [HKLM\Software\Microsoft\OLE]
新しい値
• enabledcom = 78
– [HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\
Auto Update]
新しい値
• auoptions = 1
– [HKLM\System\CurrentControlSet\Control\ServiceCurrent]
新しい値
• @ = 9
– [HKLM\System\CurrentControlSet\Control]
新しい値
• waittokillservicetimeout = 7000
– [HKLM\System\CurrentControlSet\Control\LSA]
新しい値
• restrictanonymous = 1
– [HKLM\System\CurrentControlSet\Services\LanManServer\Parameters]
新しい値
• autoshareserver = 0
• autosharewks = 0
– [HKLM\System\CurrentControlSet\Services\LanManWorkstation\
Parameters]
新しい値
• autoshareserver = 0
• autosharewks = 0
– [HKLM\System\CurrentControlSet\Services\Messenger]
新しい値
• start = 4
– [HKLM\System\CurrentControlSet\Services\RemoteRegistry]
新しい値
• start = 4
– [HKLM\System\CurrentControlSet\Services\tlntsvr]
新しい値
• start = 4
ウインドウズ XPのFirewall(防火壁)を無効にする:
– [HKLM\Software\Policies\Microsoft\WindowsFirewall\DomainProfile]
新しい値
• enablefirewall = 0
– [HKLM\Software\Policies\Microsoft\WindowsFirewall\StandardProfile]
新しい値
• enablefirewall = 0
Regedit(レジストリ編集ツール)及びタスクマネージャを無効化します。
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
新しい値
• disableregistrytools = 1
• disabletaskmgr = 1
P2P
P2P(ピアツーピア)ネットワーク内の他のシステムに感染するため、以下のアクションを実行します:
– 以下のレジストリ・キーを検索することで共有フォルダを見つけます:
• SOFTWARE\Kazaa\LocalContent\DownloadDir
ネットワーク感染
感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。
エクスプロイト(Exploit)
–
MS02-061
(SQL Server Web タスクで権限が昇格する)
–
MS04-007
(ASN .1 の脆弱性により、コードが実行される)
–
MS06-040
: Windows の重要な更新 Server サービスの脆弱性により、リモートでコードが実行される (921883)
感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにFTPスクリプトを作成します。
IRC
システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:
サーバ www.worldcasino.to
ポート: 80
ニックネーム [P00|USA|
%番号%
]
– このマルウェアは以下の情報を収集し送る能力があります:
• キャッシュに入ったパスワード
• CPU速度
• ログインしているユーザ
• ドライバの詳細
• 空きディスク容量
• 空きメモリ
• マルウェアの起動時間
• 起動中のプロセスについての情報
• メモリサイズ
• ユーザーネーム
• ウインドウズOSについての情報
– その他以下のアクションを実行することもできます:
• DDoS ICMP flood 攻撃を開始します。
• DDoS SYN flood 攻撃を開始します。
• DDoS UDP flood 攻撃を開始します。
• ネットワークシェアを無効にする
• ダウンロード・ファイル
• レジストリの編集
• ネットワークシェアを有効にする
• 実行ファイル
• IRCチャンネルに入室する
• プロセスを強制終了する
• IRCチャンネルを退室する
• リモートシェルを開く
• DDoS攻撃を実行する
• ネットワーク・スキャンの実行
• 伝染ルーチンの開始
• マルウェアを終了する
• プロセスを終了する
バックドア
サーバに接続します。
以下のうちのどれか1つ:
• http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/**********
• http://www.kinchan.net/cgi-bin/**********
• http://www.pistarnow.is.net.pl/**********
• http://cgi.break.power.ne.jp/check/**********
• http://www.proxy4free.info/cgi-bin/**********
• http://69.59.137.236/cgi/**********
• http://tutanchamon.ovh.org/**********
• http://www.proxy.us.pl/**********
• http://test.anonproxies.com/**********
• http://www.nassc.com/**********
• http://www.littleworld.pe.kr/**********
• http://www.anonymitytest.com/cgi-bin/**********
• http://tn0828-web.hp.infoseek.co.jp/cgi-bin/**********
結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。
窃盗
以下の情報を盗もうとします:
– オートコンプリート機能を利用して記録されたパスワード
– レジストリ・キーから取り出されたメール・アカウント情報:HKCUSoftwareMicrosoftInternet Account ManagerAccounts
その他
インターネット接続環境を調べるため、以下のウェブサイトに接続しようとします:
• www.google.com
アンチ・デバッギング
以下のプログラムが実行されていないか調べます:
• Softice
• Wine
• FileMon
• Regmon
成功すると、自身を終了します。
もし成功すると、ファイルを作成しません。
ファイルの部分置換
(WFP)を無効にするために、sfc_os.dll というファイルのオフセット0000E2B8を改変する能力がありま す。WFPはDLLのよく知られた脆弱性のいくつかを回避するため に作られました。
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。
簡単な説明は
ココ
にあります。.
この説明は Andrei Gherman によって Mon, 16 Jun 2008 10:18 (GMT+1) 書き込まれました。
この説明は Robert Harja Iliescu によって Thu, 24 Jul 2008 13:15 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.AT
TR/Crypt.CFI.Gen
Worm/Mytob.U
Worm/Mytob.AD
Worm/Klez.E
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
JS/Dldr.Agent.cex
TR/Dldr.Tiny.bqw
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
