Name:Worm/SdBot.36352
Entdeckt am:24/11/2005
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:36.352 Bytes
MD5 Prüfsumme:c94aef3f8db3c8d6f7483a1accaccffc
IVDF Version:6.32.00.223 - Donnerstag, 24. November 2005

 General Verbreitungsmethode:
   • Messenger


Aliases:
   •  Mcafee: W32/Checkout
   •  Kaspersky: Backdoor.Win32.SdBot.dbo
   •  F-Secure: Backdoor.Win32.SdBot.dbo
   •  Eset: Win32/IRCBot.AHG
   •  Bitdefender: Backdoor.Pushbot.C


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\live.messenger.com

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • MSN Messenger = live.messenger.com

 Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– Windows Live Messenger


An:
Alle online Einträge aus der Kontaktliste.

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: **********.milan-fans.com
Port: 8080
Passwort des Servers: oxxdull
Channel: #!msg4!
Nickname: [00|USA|%Nummer%]
Passwort: mmmsg



– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Versteckte Passwörter
    • Informationen über laufende Prozesse


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • Datei herunterladen
    • Datei ausführen
    • Starte Verbreitunsroutine
    • Prozess beenden
    • Aktualisiert sich selbst

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Gherman am Donnerstag, 19. Juni 2008
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 19. Juni 2008

zurück . . . .