Worm/SdBot.138752.8 - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/SdBot.138752.8
発見日：	20/08/2007
タイプ	ワーム
感染報告有り	はい
感染報告	低
感染の可能性	低～中
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	138.752 バイト
MD5　チェックサム	5101877e880Eae72419d17cef84ee9b9
IVDFファージョン：	6.39.01.22

一般情報 感染方法
   • メッセンジャー

別名
   • McAfee(マカフィー) W32/Sdbot.worm
   • Kaspersky(カスペルスキー) Backdoor.Win32.SdBot.blt
   • Eset Win32/IRCBot.YW

プラットフォーム/OS：
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • セキュリティ・アプリケーションを無効にします。
   • ファイルを作成します。
   • セキュリティの設定を低くします。
   • レジストリの改変。
   • ソフトの脆弱性を利用します。
   • 情報を盗みます。
   • サード・パーティ・コントロール

ファイルそれ自体を以下の場所にコピーします。
   • %WINDIR%\winsyshp.exe

以下の場所にあるアーカイブ内にそれ自身をコピーします：
   • %WINDIR%\img317.zip

以下のファイルを消去します。
   • C:\a.bat

以下のファイルが作成されます：

– C:\a.bat 作成が完了した後、起動されます。このバッチ・ファイルはファイルを削除するのに使われます。

以下のファイルを起動しようとします：

– 以下のファイルのうちのどれかを起動しようとします：
   • %SYSDIR%\net.exe
以下のコマンドラインのパラメータのファイルを起動します： stop "Security Center"

– 以下のファイルのうちのどれかを起動しようとします：
   • %SYSDIR%\net.exe
以下のコマンドラインのパラメータのファイルを起動します： stop winvnc4

– 以下のファイルのうちのどれかを起動しようとします：
   • %SYSDIR%\net1.exe
以下のコマンドラインのパラメータのファイルを起動します： stop "Security Center"

– 以下のファイルのうちのどれかを起動しようとします：
   • %SYSDIR%\net1.exe
以下のコマンドラインのパラメータのファイルを起動します： stop winvnc4

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Microsoft Visual Application"="winsyshp.exe"

メッセンジャーメッセンジャーを通して感染します。その特徴は以下の通りです：

– MSNメッセンジャー

メッセージ
以下のようなメッセージが送られます：

   • Why is this picture blurry?

   • Look @ my new car?

   • Where did you find this picture?

   • why did you show me this picture?

   • look at my baby picture

   • Did you see this?

   • Where is this picture taken?

   • Did you take this picture?

   • you drunk 2 much in this picture

   • Why are you naked in this picture?

   • look @ this

   • accept this picture

   • hey, mom my just told me 2 show this 2 you

ファイル経由の伝播
以下の名前のファイルを送ります：
   • img317.zip

IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します：

サーバ pwn.basecore.**********
ポート： 1863
サーバ・パスワード letmein
チャンネル #PWN#
ニックネーム %ランダムな文字列%
パスワード torrent

– このマルウェアは以下の情報を収集し送る能力があります：
    • マルウェアの起動時間
    • ウインドウズOSについての情報

– その他以下のアクションを実行することもできます：
    • IRCサーバとの接続を終了します。
    • ダウンロード・ファイル
    • 実行ファイル
    • プロセスを強制終了する
    • システム再起動
    • 伝染ルーチンの開始
    • それ自身をアップデートします。

プロセス中断以下のサービスは無効にされます：
• Security Center
• winvnc4

その他 Mutex(ミューテック)
以下のMutex(ミューテック）を作成します：
• fjasdf

ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

簡単な説明はココにあります。.

この説明は Adriana Popa によって Fri, 09 Nov 2007 13:02 (GMT+1) 書き込まれました。
この説明は Adriana Popa によって Fri, 09 Nov 2007 13:15 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back