English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Sdbot.80896
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Sdbot.80896 - Worm
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
Worm/Sdbot.80896
発見日:
26/08/2005
タイプ
ワーム
感染報告有り
いいえ
感染報告
低
感染の可能性
中
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
80.896 バイト
MD5 チェックサム
8e3d9a00158895be246046568332045a
VDFファージョン:
6.31.1.158
一般情報
感染方法
• ローカル・ネットワーク
別名
• Symantec(シマンテック) W32.Spybot.Worm
• Kaspersky(カスペルスキー) Trojan.Win32.Crypt.d
• TrendMicro(トレンドマイクロ) WORM_SDBOT.CBS
• ウイルスバスター Worm.SdBot.BEH
• Eset Win32/Rbot
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ 2000
• ウインドウズ XP
副作用
• セキュリティの設定を低くします。
• レジストリの改変。
• ソフトの脆弱性を利用します。
• 情報を盗みます。
• サード・パーティ・コントロール
レジストリ
以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:
– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• "li start up"="
%実行ファイル%
"
– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• "li start up"="
%実行ファイル%
"
以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:
– HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
• "li start up"="
%実行ファイル%
"
– HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
• "li start up"="
%実行ファイル%
以下のレジストリ・キーが追加されます:
– HKLM\Software\Microsoft\OLE
• "li start up"="
%実行ファイル%
"
– HKLM\SYSTEM\CurrentControlSet\Control\Lsa
• "li start up"="
%実行ファイル%
"
– HKCU\Software\Microsoft\OLE
• "li start up"="
%実行ファイル%
"
– HKCU\SYSTEM\CurrentControlSet\Control\Lsa
• "li start up"="
%実行ファイル%
"
以下のレジストリ・キーは変更されます:
– HKLM\Software\Microsoft\OLE
前の値
• "EnableDCOM"="
%ユーザ設定%
"
新しい値
• "EnableDCOM"="Y"
ネットワーク感染
感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。
以下のネットワーク・シェアにそれ自身のコピーを作成します:
• "ipc$"
• "print$"
• "admin$"
• "Admin$"
リモート・マシンへのアクセスを得るために、以下のログイン情報を使用します:
–キャッシュに入ったユーザ名とパスワード
– 以下のユーザ名:
• Admin; Administrador; administrador; administrat; Administrateur;
Administrator; Coordinatore; Guest; main; master; owner; root; server;
student; supervisor; system; teacher; user; windows
– 以下のパスワード:
• 7; 123; 777; 2600; abc; access; computer; Login; oem; oeminstall;
OWNER; pass; password; pwd; qwerty; superuser; win2000; win2k; winnt;
winxp; xxx
エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
–
MS04-011
(LSASSの脆弱性)
IPアドレス作成
ランダムなIPアドレスを作りますが、その最初の2つの8ビットは同じままです。その後それらと接続しようとします。
感染プロセス
リモートロケーションにマルウェアをダウンロードするため、侵入したマシンにFTPスクリプトを作成します。
処理速度の低下:
– 帯域幅の大きさによって、ネットワーク速度の低下が見られるかもしれません。このマルウェアは回線の利用量が中程度のため、ブロードバンド回線を使って接続している場合、ネットワーク速度の低下に気づかないこともあります。
– さらに、ネットワーク・スレッドをいくつか作成するために起こる速度の低下に気づくかもしれません。
IRC
システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:
サーバ 83.133.125.**********
ポート: 24300
チャンネル #fftp
ニックネーム [XP]|%random characters%
パスワード abcnet
– このマルウェアは以下の情報を収集し送る能力があります:
• CPU速度
• ログインしているユーザ
• 空きディスク容量
• 空きメモリ
• マルウェアの起動時間
• ネットワークについての情報
• 起動中のプロセスについての情報
• メモリサイズ
• システムディレクトリ
• ユーザーネーム
– その他以下のアクションを実行することもできます:
• IRCサーバと接続します。
• IRCサーバとの接続を終了します。
• ダウンロード・ファイル
• レジストリの編集
• DCOMを有効にする
• 実行ファイル
• IRCチャンネルに入室する
• プロセスを強制終了する
• リモートシェルを開く
• DDoS攻撃を実行する
• ネットワーク・スキャンの実行
• システムをシャットダウンする
• 伝染ルーチンの開始
• プロセスを終了する
• それ自身をアップデートします。
ホスト
ホストファイルは以下のように改変されます:
– この場合、存在する登録情報は削除されます。
– 以下のドメインへのアクセスは違う行先に変更されています。
• avp.com; ca.com; customer.symantec.com; dispatch.mcafee.com;
download.mcafee.com; f-secure.com; kaspersky.com; kaspersky-labs.com;
liveupdate.symantec.com; liveupdate.symantecliveupdate.com;
mast.mcafee.com; mcafee.com; my-etrust.com; nai.com;
networkassociates.com; rads.mcafee.com; secure.nai.com;
securityresponse.symantec.com; sophos.com; symantec.com;
trendmicro.com; update.symantec.com; updates.symantec.com;
us.mcafee.com; viruslist.com; www.avp.com; www.ca.com;
www.f-secure.com; www.grisoft.com; www.jayloden.com;
www.kaspersky.com; www.mcafee.com; www.my-etrust.com; www.nai.com;
www.networkassociates.com; www.sophos.com; www.symantec.com;
www.trendmicro.com; www.viruslist.com
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
簡単な説明は
ココ
にあります。.
この説明は Irina Boldea によって Fri, 26 Aug 2005 18:43 (GMT+1) 書き込まれました。
この説明は Irina Boldea によって Tue, 30 Aug 2005 17:02 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Netsky.J
Worm/Mytob.AT
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
