Worm.Win32_Sdbot-WS

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Afin de s'exécuter à chaque démarrage d'une session utilisateur, Sdbot-WS se copie dans le répertoire %System% sous le nom de "winupdate.exe" et crée dans le registre les entrées suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Update
winupdate.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Windows Update
winupdate.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Update
winupdate.exe


Note: '%System%' est une variable de localisation. Sdbot-WS détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.

Une fois installé, Sdbot-WS se connecte à un serveur IRC préconfiguré et rejoint un canal à partir duquel l'attaquant peut émettre d'autres commandes.

Ces commandes peuvent provoquer l'exécution par l'ordinateur infecté de l'une des actions suivantes :
- Contrôle des ordinateurs distants à infecter
- Vol de clés de produits
- Téléchargement en amont et en aval de fichiers et leur exécution
- Récupération d'informations sur un système infecté

Il est posssible d'ordonner au ver de sécuriser un ordinateur infecté et celui-ci exécute cette opération en tentant de supprimer les partages réseau C$, D$, IPC$ et ADMIN$, et désactive DCOM en paramétrant dans le registre l'entrée suivante :

HKLM\Software\Microsoft\OLE
EnableDCOM
N





http://www.echu.org/