SDBOT: il worm che sniffa

Dopo il worm che spia attraverso la webcam e il worm che parla, arriva il worm che sniffa il traffico di rete

di Marco Giuliani pubblicata il 16 Settembre 2004, alle 09:38 nel canale Sicurezza

É stata isolata pochi giorni fa una nuova variante dell'ormai famigerato worm SDBOT. La famiglia di questo worm è ben conosciuta anche per le sue caratteristiche di backdoor.
La variante UH, isolata dalla Trend, include la singolare caratteristica di poter analizzare il traffico di rete attraverso lo sniffer incorporato denominato carnivore. Per i meno informati il carnivore network sniffer è stato sviluppato per conto dell'FBI ed era conosciuto un tempo come DCS1000.
Attraverso il controllo della rete il worm filtra le seguenti stringhe:

: auth
: login
:!auth
:!hashin
:!login
:!secure
:!syn
:$auth
:$hashin
:$login
:$syn
:%auth
:%hashin
:%login
:%syn
:&auth
:&login
:*auth
:*login
:,auth
:,login
:.auth
:.hashin
:.login
:.secure
:.syn
:/auth
:/login
:?auth
:?login
:@auth
:@login
:\auth
:\login
:~auth
:~login
:+auth
:+login
:=auth
:=login
:'auth
:-auth
:'login
:-login
login
login
paypal
PAYPAL
paypal.com
PAYPAL.COM

Inoltre una volta installato nel sistema tenta di rubare i CD key dei seguenti giochi

Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Chrome
Command and Conquer: Generals
Command and Conquer: Generals (Zero Hour)
Command and Conquer: Red Alert
Command and Conquer: Red Alert 2
Command and Conquer: Tiberian Sun
Counter-Strike (Retail)
FIFA 2002
FIFA 2003
Freedom Force
Global Operations
Gunman Chronicles
Half-Life
Hidden & Dangerous 2
IGI 2: Covert Strike
Industry Giant 2
James Bond 007: Nightfire
Legends of Might and Magic
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Nascar Racing 2002
Nascar Racing 2003
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Neverwinter Nights
Neverwinter Nights (Hordes of the Underdark)
Neverwinter Nights (Shadows of Undrentide)
NHL 2002
NHL 2003
NOX
Rainbow Six III RavenShield
Shogun: Total War: Warlord Edition
Soldier of Fortune II - Double Helix
Soldiers of Anarchy
The Gladiators
Unreal Tournament 2003
Unreal Tournament 2004

e il Microsoft Windows Product ID.

Tra le varie funzioni di backdoor che il worm include c'è la possibilità di lanciare attacchi DoS, fare l'upload e il download di qualunque file dalla macchina infetta, connettersi a server IRC e recuperare informazioni sul sistema infetto.

Il worm si diffonde attraverso la rete utilizzando vari bug di Windows, quali il bug RPC, il bug LSASS, il buffer overflow nel software SQL Server 2000 o attraverso la LAN usando le funzioni NetBEUI.

Una volta installato nel sistema aggiunge le seguenti voci al registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Microsoft Time Manager = "dveldr.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Microsoft Time Manager = "dveldr.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole

Microsoft Time Manager = "dveldr.exe"

Si raccomanda come sempre di aggiornare il proprio software antivirus e di tenere aggiornato il sistema operativo con le ultime patch a disposizione.

I migliori sconti su Amazon oggi

DB_MySQL Error: MySQL server has gone away - /dati/vserver/hwupgrade.it/db/common-cache.inc.php , 101