ALERTE CONTAMINATION      

Virus
Sdbot

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003

ALIAS :
Win32.Sdbot (Computer Associates)
Backdoor.SdBot.gen (Kaspersky)
W32/Sdbot.worm.gen (McAfee)
W32/Rbot-Fam (Sophos)
Backdoor.Sdbot.gen (Symantec)
W32.HLLW.Donk (Symantec)
WORM_SDBOT.GEN (Trend Micro)
BAT_SDBOT (Trend Micro)
BKDR_SDBOT (Trend Micro)
Backdoor.Rbot gen
IRC-Sdbot
Win32/Gnu.Trojan
Win32/IRCBot.SvHost.Trojan
Backdoor/SDBot
Backdoor/Sdbot.Server

TAILLE :
variable

DECOUVERTE :
10/04/2003

DESCRIPTION DETAILLEE :
Sdbot est une famille de virus ciblant les ordinateurs non à jour dans leurs correctifs de sécurité ou précédemment infectés par certains virus. Sdbot tente de se connecter aux machines accessibles en utilisant différentes portes dérobées ou failles de sécurité connues : s'il réussit, le virus infecte l'ordinateur en se copiant dans le répertoire System de Windows, modifie la base de registres afin d'être exécuté à chaque démarrage de l'ordinateur, puis scanne le réseau à la recherche de nouvelles machines vulnérables.

Le virus installe une porte dérobée qui autorise la prise de contrôle à distance de l'ordinateur infecté puis se connecte immédiatement à un canal IRC (Internet Relay Chat) prédéterminé en attente de commandes à exécuter par une personne malveillante : téléchargement et exécution de programmes à l'insu de l'utilisateur, enregistrement des frappes au clavier, etc.

24/08/04 : une variante nommée W32/Sdbot.worm.96716 (également appelée W32/Rbot-GR) a été identifiée. Contrairement à ce qui a parfois été écrit, cette variante ne prend pas le contrôle d'une éventuelle webcam appartenant à l'utilisateur pour envoyer directement des images ou des vidéos à des pirates, mais installe une porte dérobée qui autorise notamment la prise de contrôle d'une éventuelle webcam en cas d'intrusion par une personne malveillante. Un fait anecdotique mais largement médiatisé suite au communiqué de presse quelque peu opportuniste d'un éditeur d'antivirus, qui ne doit cependant pas faire perdre de vue que le risque pour l'utilisateur et sa vie privée commence dès l'intrusion non autorisée dans son ordinateur. Les ordinateurs sains et à jour dans leurs correctifs ne peuvent pas être infectés.

08/09/04 : une variante nommée WORM_SDBOT.UH a été identifiée. En plus d'une porte dérobée et d'un keylogger cette variante installe un "sniffer", un outil normalement utilisé par les administrateurs pour examiner le trafic réseau et capturer les paquets en circulation, permettant l'accès à leur contenu si non crypté. Cela pourrait éventuellement favoriser l'attaque d'un réseau local dont une machine aurait été infectée par le virus, mais cela semble surtout relever d'une stratégie de communication de l'auteur de Sdbot visant à intégrer régulièrement de nouvelles fonctionnalités sans même avoir l'intention de les utiliser dans le but de faire parler de ses virus, ce qui est une nouvelle fois réussi. Aucune propagation n'a pour l'instant été constatée.

INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Identifier les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ : une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus