Worm/SdBot.36352 - Worm

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	Worm/SdBot.36352
Entdeckt am:	24/11/2005
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	36.352 Bytes
MD5 Prüfsumme:	c94aef3f8db3c8d6f7483a1accaccffc
IVDF Version:	6.32.00.223 - Thu, 24 Nov 2005 14:22 (GMT+1)

General Verbreitungsmethode:
   • Messenger

Aliases:
   • Mcafee: W32/Checkout
   • Kaspersky: Backdoor.Win32.SdBot.dbo
   • F-Secure: Backdoor.Win32.SdBot.dbo
   • Eset: Win32/IRCBot.AHG
   • Bitdefender: Backdoor.Pushbot.C

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\live.messenger.com

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• MSN Messenger = live.messenger.com

Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– MSN Messenger

An:
Alle online Einträge aus der Kontaktliste.

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: **********.milan-fans.com
Port: 8080
Passwort des Servers: oxxdull
Channel: #!msg4!
Nickname: [00|USA|%Nummer%]
Passwort: mmmsg

– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Versteckte Passwörter
    • Informationen über laufende Prozesse

– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • Datei herunterladen
    • Datei ausführen
    • Starte Verbreitunsroutine
    • Prozess beenden
    • Aktualisiert sich selbst

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Andrei Gherman am Thu, 19 Jun 2008 14:23 (GMT+1)
Beschreibung geändert von Andrei Gherman am Thu, 19 Jun 2008 14:24 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück