Nome del virus:BDS/Bot.67456
Scoperto:08/12/2008
Tipo:Backdoor Server
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:118.784 Byte
Somma di controllo MD5:1d5fad8636788d69e03324493fc1d985
Versione IVDF:7.01.00.204 - lunedì 8 dicembre 2008

 Generale Metodo di propagazione:
   • Autorun feature (it)


Alias:
   •  Mcafee: W32/Sdbot.worm.gen.ay
   •  Sophos: W32/SdBot-DOE
   •  Panda: W32/Autorun.IWS.worm
   •  Eset: Win32/AutoRun.IRCBot.AF
   •  Bitdefender: Backdoor.Bot.67456


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %unità disco%\SYSTEM\%CLSID%\system32.exe



Vengono creati i seguenti file:

%unità disco%\SYSTEM\%CLSID%\Desktop.ini
%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

 Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Classes\.key]
   • "@"="regfile"

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {28ABC5C0-4FCB-11CF-AAX5-21CX1C643131}]
   • "StubPath"="c:\SYSTEM\%CLSID%\system32.exe"

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: by1msg37791302.geteway.edge.mq**********.com
Porta: 1863
Nickname: [l4M3r]%stringa di caratteri casuale%

 Come il virus si inserisce nei processi – Si inserisce come thread in un processo.

    Nome del processo:
   • explorer.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su martedì 2 marzo 2010
Descrizione aggiornata da Petre Galan su mercoledì 3 marzo 2010

Indietro . . . .