SDBOT: il worm che sniffa

SDBOT: il worm che sniffa

Dopo il worm che spia attraverso la webcam e il worm che parla, arriva il worm che sniffa il traffico di rete

di Marco Giuliani pubblicata il , alle 09:38 nel canale Sicurezza
 
É stata isolata pochi giorni fa una nuova variante dell'ormai famigerato worm SDBOT. La famiglia di questo worm è ben conosciuta anche per le sue caratteristiche di backdoor.
La variante UH, isolata dalla Trend, include la singolare caratteristica di poter analizzare il traffico di rete attraverso lo sniffer incorporato denominato carnivore. Per i meno informati il carnivore network sniffer è stato sviluppato per conto dell'FBI ed era conosciuto un tempo come DCS1000.
Attraverso il controllo della rete il worm filtra le seguenti stringhe:

: auth
: login
:!auth
:!hashin
:!login
:!secure
:!syn
:$auth
:$hashin
:$login
:$syn
:%auth
:%hashin
:%login
:%syn
:&auth
:&login
:*auth
:*login
:,auth
:,login
:.auth
:.hashin
:.login
:.secure
:.syn
:/auth
:/login
:?auth
:?login
:@auth
:@login
:\auth
:\login
:~auth
:~login
:+auth
:+login
:=auth
:=login
:'auth
:-auth
:'login
:-login
login
login
paypal
PAYPAL
paypal.com
PAYPAL.COM

Inoltre una volta installato nel sistema tenta di rubare i CD key dei seguenti giochi

Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Chrome
Command and Conquer: Generals
Command and Conquer: Generals (Zero Hour)
Command and Conquer: Red Alert
Command and Conquer: Red Alert 2
Command and Conquer: Tiberian Sun
Counter-Strike (Retail)
FIFA 2002
FIFA 2003
Freedom Force
Global Operations
Gunman Chronicles
Half-Life
Hidden & Dangerous 2
IGI 2: Covert Strike
Industry Giant 2
James Bond 007: Nightfire
Legends of Might and Magic
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Nascar Racing 2002
Nascar Racing 2003
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Neverwinter Nights
Neverwinter Nights (Hordes of the Underdark)
Neverwinter Nights (Shadows of Undrentide)
NHL 2002
NHL 2003
NOX
Rainbow Six III RavenShield
Shogun: Total War: Warlord Edition
Soldier of Fortune II - Double Helix
Soldiers of Anarchy
The Gladiators
Unreal Tournament 2003
Unreal Tournament 2004

e il Microsoft Windows Product ID.

Tra le varie funzioni di backdoor che il worm include c'è la possibilità di lanciare attacchi DoS, fare l'upload e il download di qualunque file dalla macchina infetta, connettersi a server IRC e recuperare informazioni sul sistema infetto.

Il worm si diffonde attraverso la rete utilizzando vari bug di Windows, quali il bug RPC, il bug LSASS, il buffer overflow nel software SQL Server 2000 o attraverso la LAN usando le funzioni NetBEUI.

Una volta installato nel sistema aggiunge le seguenti voci al registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Microsoft Time Manager = "dveldr.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Microsoft Time Manager = "dveldr.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole

Microsoft Time Manager = "dveldr.exe"

Si raccomanda come sempre di aggiornare il proprio software antivirus e di tenere aggiornato il sistema operativo con le ultime patch a disposizione.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

16 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
FabioD7716 Settembre 2004, 09:57 #1
Come mai spunta solo in questi giorni?
Me lo sono beccato a Giugno. Per fortuna non è molto difficile eliminarlo.

Cmq, molto bastardo!
trecca16 Settembre 2004, 09:59 #2
da quando i virus rubano le cd-key dei giochi?
zerothehero16 Settembre 2004, 10:02 #3
Originariamente inviato da trecca
da quando i virus rubano le cd-key dei giochi?



---riflettendoci un attimo non è difficile dato che molti seriali dei giochi si trovano nel registro....
Dumah Brazorf16 Settembre 2004, 11:06 #4

Il worm che sniffa...

Ghghghg... dal titolo sembra un virus tossicodipendente!! L'avra mica scritto Maradona!!
Trabant16 Settembre 2004, 11:16 #5
Ma un autore di virus che se ne fa dei CD key dei giochi? Si scarica i giochi dal p2p e poi ci si mette a giocare? Non ce lo vedo proprio ...
Cimmo16 Settembre 2004, 11:21 #6
Io si
lasa16 Settembre 2004, 11:29 #7
Prima il virus che parla, ora quello che sniffa, a quando quello che non rompe le scatole?
Carpix16 Settembre 2004, 12:16 #8
Scusate ma come fate a capire quando ve lo beccate??
Kralizek16 Settembre 2004, 12:45 #9
quando non riesci più ad accedere ai server dei giochi di cui ti ha sgraffignato la chiave!!!
MaxArt16 Settembre 2004, 13:26 #10
Il virus che parla, il virus che sniffa, ci manca il virus che ti tromba la donna e siamo a posto!
Ma porca vacca, questi virii coders che hanno altro da fare oltre che divertirsi alla tastiera?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^