English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/SdBot.137728.3
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/SdBot.137728.3 - Worm
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
Worm/SdBot.137728.3
発見日:
23/08/2005
タイプ
ワーム
感染報告有り
いいえ
感染報告
低
感染の可能性
中
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
137,728 バイト
MD5 チェックサム
ed93fa4c20115d1e5265ff410907d63b
VDFファージョン:
6.31.1.150
一般情報
感染方法
• ローカル・ネットワーク
別名
• Symantec(シマンテック) W32.Spybot.Worm
• McAfee(マカフィー) W32/Sdbot.worm.gen.br
• Kaspersky(カスペルスキー) Backdoor.Win32.SdBot.adr
• TrendMicro(トレンドマイクロ) WORM_RBOT.CCJ
• Sophos(ソフォス) W32/Rbot-AKY
• ウイルスバスター Worm.SdBot.BDV
• ビットディフェンダー(Bitdefender): Backdoor.Rbot.AKY
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• 悪意ファイルをダウンロードします。
• レジストリの改変。
• ソフトの脆弱性を利用します。
• サード・パーティ・コントロール
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\updater.pif
最初に実行したコピーの方を削除します。
以下のファイルを消去します。
•
%SYSDIR%
\updater.pif
以下のファイルが作成されます:
– このファイルは一時的に使用されるタイプで、後で消去される可能性があります。
•
%TEMPDIR%
\
%ランダム%
.exe
•
%temporary internet files%
\new.gif
•
%temporary internet files%
\news.gif
–
%TEMPDIR%
\del.bat 作成が完了した後、起動されます。 このバッチ・ファイルはファイルを削除するのに使われます。
ファイルをダウンロードしようとします:
– 場所は以下の通りです:
• http://200.79.160.**********/new.gif
ハードディスクの以下のパスにセーヴされます:
%SYSDIR%
\update32.pif ダウンロードが終了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。
– 場所は以下の通りです:
• http://200.79.160.**********/news.gif
ハードディスクの以下のパスにセーヴされます: %sysdir%\updating.pif ダウンロードが終了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。
レジストリ
再起動後そのプロセスを実行するため、それぞれのレジストリ・キーに、それらの値のうちの1つを追加します:
– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
• "Windows Update Service"="update32.pif"
• "Windows Update Service"="updatings.pif"
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "Windows Update Service"="update32.pif"
• "Windows Update Service"="updatings.pif"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• "Windows Update Service"="update32.pif"
• "Windows Update Service"="updatings.pif"
– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices]
• "Windows Update Service"="update32.pif"
• "Windows Update Service"="updatings.pif"
– [HKLM\SOFTWARE\Microsoft\Ole]
• "Windows Update Service"="update32.pif"
• "Windows Update Service"="updatings.pif"
– [HKCU\Software\Microsoft\OLE]
• "Windows Update Service"="update32.pif"
• "Windows Update Service"="updatings.pif"
– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
• "Windows Update Service"="update32.pif"
• "Windows Update Service"="updatings.pif"
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• "Windows Update Service"="update32.pif"
• "Windows Update Service"="updatings.pif"
以下のレジストリ・キーの値が消えています:
– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
• MS Windows Security Updater
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• MS Windows Security Updater
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
• MS Windows Security Updater
– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices]
• MS Windows Security Updater
– [HKLM\SOFTWARE\Microsoft\Ole]
• MS Windows Security Updater
– [HKCU\Software\Microsoft\OLE]
• MS Windows Security Updater
– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
• MS Windows Security Updater
– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
• MS Windows Security Updater
– [HKLM\SOFTWARE\Microsoft\Ole]
• "Windows Update Service"="update32.pif"
ネットワーク感染
感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。
エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
–
MS03-026
(RPC インターフェイスのバッファ オーバーランによりコードが実行される)
–
MS03-049
(Workstation サービスのバッファ オーバーランにより、コードが実行される (828749))
–
MS04-007
(ASN .1 の脆弱性により、コードが実行される)
–
MS05-039
(プラグ・アンド・プレイの脆弱性)
IPアドレス作成
ランダムなIPアドレスを作り、それらと接続しようとします。
感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにFTPスクリプトを作成します。
IRC
システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:
サーバ **********.update.updates32.biz
ポート: 4654
サーバ・パスワード gringle
チャンネル #z0wb#
ニックネーム
%8桁のランダムな文字列%
パスワード shabby123
サーバ **********.update.security32.biz
ポート: 4564
サーバ・パスワード gringle
チャンネル #z0wb#
ニックネーム
%8桁のランダムな文字列%
パスワード shabby123
サーバ **********.update.updates32.biz
ポート: 65529
サーバ・パスワード gringle
チャンネル #z0wb#
ニックネーム
%8桁のランダムな文字列%
パスワード shabby123
サーバ **********.update.security32.biz
ポート: 65528
サーバ・パスワード gringle
チャンネル #z0wb#
ニックネーム
%8桁のランダムな文字列%
パスワード shabby123
– このマルウェアは以下の情報を収集し送る能力があります:
• ネットワークについての情報
• ユーザーのローカル活動
– その他以下のアクションを実行することもできます:
• IRCサーバと接続します。
• IRCサーバとの接続を終了します。
• ダウンロード・ファイル
• 実行ファイル
• IRCチャンネルに入室する
• IRCチャンネルを退室する
• リモートシェルを開く
• 伝染ルーチンの開始
• それ自身をアップデートします。
その他
Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
• zewb
以下のMutex(ミューテック)を作成します:
• updaterr
• updatings
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。
簡単な説明は
ココ
にあります。.
この説明は Iulia Diaconescu によって Wed, 24 Aug 2005 16:14 (GMT+1) 書き込まれました。
この説明は Iulia Diaconescu によって Mon, 05 Sep 2005 08:32 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Netsky.J
Worm/Mytob.AT
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
