English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/SdBot.abf.4
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/SdBot.abf.4 - Worm
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
Worm/SdBot.abf.4
発見日:
12/09/2005
タイプ
ワーム
感染報告有り
いいえ
感染報告
低
感染の可能性
中
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
36.747 バイト
MD5 チェックサム
e07040eb929d55f766a27501a96524a1
VDFファージョン:
6.32.0.7
一般情報
感染方法
• ローカル・ネットワーク
別名
• ウイルスバスター Worm.SdBot.BGQ
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• 悪意ファイルを作成します。
• レジストリの改変。
• ソフトの脆弱性を利用します。
• 情報を盗みます。
• サード・パーティ・コントロール
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\T
%5桁のランダムな文字列%
.exe
レジストリ
以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Jxmnefer"="
%SYSDIR%
\T
%5桁のランダムな文字列%
.exe"
ネットワーク感染
感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。
以下のネットワーク・シェアにそれ自身のコピーを作成します:
• ADMIN$\system32\
• C$\winnt\system32\
• IPC$\
• C$\shared\
• C$\
• C$\Documents and Settings\All Users\Documents\
• C$\windows\system32\
リモート・マシンへのアクセスを得るために、以下のログイン情報を使用します:
– 以下のユーザ名:
• "administrator"
• "administrateur"
• "administrador"
• "admin"
– 以下のパスワード:
• "passwd"; "pass"; "pwd"; "pass1234"; "zxc123"; "qweasd"; "qazwsx";
"qwe123"; "123qwe"; "123qaz"; "zxcvbnm"; "qweasdzxc"; "666"; "ctx";
"nokia"; "lan"; "internet"; "freddy"; "glen"; "turnip"; "afro";
"user1"; "student"; "student1"; "teacher"; "staff"; "intranet";
"bill"; "fred"; "freddy"; "glen"; "billgates"; "billgate"; "fuckyou";
"motdepass"; "zaq123"; "zaqxsw"; "123qwe123"; "201"; "202"; "203";
"204"; "205"; "206"; "207"; "209"; "210"; "211"; "212"; "213"; "214";
"216"; "217"; "218"; "219"; "220"; "221"; "222"
エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
–
MS04-011
(LSASSの脆弱性)
IPアドレス作成
ランダムなIPアドレスを作り、それらと接続しようとします。
IRC
システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:
サーバ get.**********.info
ポート: 5540
チャンネル #ven
ニックネーム T
%5桁のランダムな文字列%
– その他以下のアクションを実行することもできます:
• IRCサーバと接続します。
• IRCサーバとの接続を終了します。
• IRCチャンネルに入室する
• IRCチャンネルを退室する
• ネットワーク・スキャンの実行
• 伝染ルーチンの開始
窃盗
以下の情報を盗もうとします:
– 以下のCDキー:
• Battlefield 2
ファイルの詳細
プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• MEW 11
簡単な説明は
ココ
にあります。.
この説明は Catalin Jora によって Mon, 12 Sep 2005 16:10 (GMT+1) 書き込まれました。
この説明は Catalin Jora によって Wed, 14 Sep 2005 12:38 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Netsky.J
Worm/Mytob.AT
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
