PCの修理が必要ですか?
専門家に頼む
????Worm/SdBot.aad.373
????04/01/2006
??????
????????
?????
???????
????????????
?????????????
????????65.024 ???
MD5???????7eac026af1b7f20F52765af44e0926d8
VDF???????6.33.00.96

 ???? ????
   • ???????????
   • ??????????????????


??
   •  Symantec: W32.Spybot.Worm
   •  TrendMicro: WORM_SDBOT.HM
   •  Eset IRC/SdBot
   •  Bitdefender: Backdoor.SDBot.6A9913B0


????????/OS?
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


???
   • ?????????????
   • ????????????????
   • ?????????
   • ??????????????
   • ???????????????

 ???? ??????????????????
   • %WINDIR%\nvidGUIv.exe



???????????????

%SYSDIR%\remon.sys ?????????????????????????????????? ?????????????? Tr/Rootkit.Agent.AB

 ????? ??????????????????????????????????????????

[HKLM\SYSTEM\CurrentControlSet\Services\nvidGUIv2]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\nvidGUIv.exe"
   • "DisplayName"="nvidGUIv"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%hex?%
   • "Description"="Manages Video devices for Windows-based "



???????????????????

HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   • "DoNotAllowXPSP2"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Control
   • "WaitToKillServiceTimeout"="7000"



???????????????????

HKLM\SOFTWARE\Microsoft\Security Center
   ???
   • "AntiVirusDisableNotify"=dword:%?????%
   • "FirewallDisableNotify"=dword:%?????%
   • "UpdatesDisableNotify"=dword:%?????%
   • "AntiVirusOverride"=dword:%?????%
   • "FirewallOverride"=dword:%?????%
   ????
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
   ???
   • "EnableFirewall"=%?????%
   ????
   • "EnableFirewall"=dword:00000000

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
   ???
   • "EnableFirewall"=%?????%
   ????
   • "EnableFirewall"=dword:00000000

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
   Auto Update
   ???
   • "AUOptions"=%?????%
   ????
   • "AUOptions"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
   ???
   • "restrictanonymous"=%?????%
   ????
   • "restrictanonymous"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   ???
   • "AutoShareWks"=%?????%
   • "AutoShareServer"=%?????%
   ????
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters
   ???
   • "AutoShareWks"=%?????%
   • "AutoShareServer"=%?????%
   ????
   • "AutoShareWks"=dword:00000000
   • "AutoShareServer"=dword:00000000

HKLM\SOFTWARE\Microsoft\Ole
   ???
   • "EnableDCOM"=%?????%
   ????
   • "EnableDCOM"="N"

 ???????? ???????????????????????????????????????????

?????????????????????????????
   • D$\Windows\System32
   • C$\Winnt\System32
   • ADMIN$\System32
   • ADMIN$
   • IPC$
   • C$


???????(Exploit)
??????????(Exploit)???????
– MS03-026 (RPC ????????????? ??????????????????)
– MS03-039 (RPCSS ???? ????? ?????????????????? (824146))
– MS03-049 (Workstation ????????? ??????????????????? (828749))
– MS04-007 (ASN .1 ?????????????????)
– MS05-039 (???????????????)


IP??????
?????IP????????????????2??8????????????????????????????


??????
????????????????????????????????????FTP????????????


???????
????????????????????????????????????????NetScheduleJobAdd?????????

 IRC ?????????????????????????????????IRC??????????

??? http.**********servers.net
???? 5552
????? #vec
?????? [P00|USA| %5??????????%]
????? #vece

??? http.**********0rder.com
???? 6556
????? #vec
?????? [P00|USA| %5??????????%]
????? #vece



 ???????????????????????????
    • CPU??
     ???????
    • ????????
    • ?????
    • ??????????
    • ?????????????
    • ???????????????
    • ??????
    • ???????
    • ??????OS???????


 ????????????????????????
     DDoS ICMP flood ?????????
     DDoS SYN flood ?????????
     DDoS UDP flood ?????????
    • ???????????????
    • ???????????
    • ????????
    • ???????????????
    • ??????
    • ???????????
    • DDoS???????
     ??????????????
     ???????
    • ??????????????
     ?????????
    • ?????????
     ???????????????
    • ?????????????
     ?????????????

 ?????? ?????????????????????????????????????
   • i11r54n4.exe; rate.exe; winsys.exe; irun4.exe; bbeagle.exe;
      d3dupdate.exe; teekids.exe; Penis32.exe; MSBLAST.exe;
      PandaAVEngine.exe; taskmon.exe; mscvb32.exe; ssate.exe; sysinfo.exe


????????????????
   • Security Center
   • Remote Registry
   • Messenger
   • Telnet

 ????? ??????????
??????
   • http://hpcgi1.nifty.com/mute/c/**********
   • http://www.age.ne.jp/x/maxwell/cgi-bin/**********
   • http://www2.dokidoki.ne.jp/tomocrus/cgi-bin/check/**********
   • http://cgi14.plala.or.jp/little_w/**********
   • http://yia.s22.xrea.com/**********
   • http://www.kinchan.net/cgi-bin/**********

?????????????????????? ???CGI?????????HTTP GET????????????????

 ??? Mutex(??????)
???Mutex(??????????????
   • Add3ZA1M

 ??????? ???????:
?????????????MS Visual C++?????????


??????????
??????????????????????????????????????????????????

説明の挿入者 Irina Boldea の 2006年9月26日火曜日
説明の更新者 Irina Boldea の 2006年10月11日水曜日

戻る . . . .
https:// このウィンドウは暗号化されています。