WORM_SDBOT.MAL

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Windows%\system\slass.exe

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• rtkjhi4568h96894H3G8H38958934hy9t3h498hy548hgmnhnf,ggsdfg4ww3333...

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netmanlr
ObjectName = LocalSystem

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netmanlr
Description = "Manage Local and Remote Network Connections Services. If this service is stopped, protected content might not be down loaded to the device."

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netmanlr
ImagePath = "%Windows%\system\slass.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netmanlr
DisplayName = Network Connections Manage

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\netmanlr
Start = "2"

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Shell Extensions
systemxstuff = "{Malware path}\{Malware name}.exe"

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess
Start = "2"

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

• {Removable drive letter except A and B}:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

• {Removable drive letter except A and B}:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe

Verwendet den folgenden Dateinamen und das folgende Kennwort, um auf kennwortgeschützte Freigabelaufwerke zuzugreifen:

• "administrator"
• "administrador"
• "administrateur"
• "administrat"
• "admins"
• "admin"
• "adm"
• "password1"
• "password"
• "passwd"
• "pass1234"
• "pass"
• "pwd"
• "007"
• "12"
• "123"
• "1234"
• "12345"
• "123456"
• "1234567"
• "12345678"
• "123456789"
• "1234567890"
• "2000"
• "2001"
• "2002"
• "2003"
• "2004"
• "test"
• "guest"
• "none"
• "demo"
• "unix"
• "linux"
• "changeme"
• "default"
• "system"
• "server"
• "root"
• "null"
• "qwerty"
• "mail"
• "outlook"
• "web"
• "www"
• "internet"
• "accounts"
• "accounting"
• "home"
• "homeuser"
• "user"
• "oem"
• "oemuser"
• "oeminstall"
• "windows"
• "win98"
• "win2k"
• "winxp"
• "winnt"
• "win2000"
• "qaz"
• "asd"
• "zxc"
• "qwe"
• "bob"
• "jen"
• "joe"
• "fred"
• "bill"
• "mike"
• "john"
• "peter"
• "luke"
• "sam"
• "sue"
• "susan"
• "peter"
• "brian"
• "lee"
• "neil"
• "ian"
• "chris"
• "eric"
• "george"
• "kate"
• "bob"
• "katie"
• "mary"
• "login"
• "loginpass"
• "technical"
• "backup"
• "exchange"
• "fuck"
• "bitch"
• "slut"
• "sex"
• "god"
• "hell"
• "hello"
• "domain"
• "domainpass"
• "domainpassword"
• "database"
• "access"
• "dbpass"
• "dbpassword"
• "databasepass"
• "data"
• "databasepassword"
• "db1"
• "db2"
• "db1234"
• "sa"
• "sql"
• "sqlpassoainstall"
• "orainstall"
• "oracle"
• "ibm"
• "cisco"
• "dell"
• "compaq"
• "siemens"
• "hp"
• "nokia"
• "xp"
• "control"
• "office"
• "blank"
• "winpass"
• "main"
• "lan"
• "internet"
• "intranet"
• "student"
• "teacher"
• "staff"

Backdoor-Routine

Verbindet sich mit einem oder mehreren der folgenden IRC-Server:

• oak.{BLOCKED}me.net
• {BLOCKED}.{BLOCKED}.179.100
• ringc.{BLOCKED}led.net
• {BLOCKED}arc.{BLOCKED}e.st
• gloves.{BLOCKED}o.org
• picc.{BLOCKED}s.net
• oak.{BLOCKED}me.net
• helms.{BLOCKED}o.org
• sandtp.{BLOCKED}nkiller.com
• computercc.{BLOCKED}list.com
• headmefc.{BLOCKED}As.com
• onthebreak.{BLOCKED}s.com

Wählt sich in einen oder mehrere der folgenden IRC-Kanäle ein:

• #naga2

Einschleusungsroutine

Schleust die folgenden Dateien ein:

• {Removable drive letter except A and B}:\autorun.inf
• {Removable drive letter except A and B}:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\Desktop.ini

Datendiebstahl

Folgende Daten werden gesammelt:

• OS Version Info
• OS Service Pack
• OS Locale Info
• Computer Name