Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/SdBot.34709
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:中等程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:34.709 字节
MD5 校检和:3d6bd481eb390817f5599465dffc7986
VDF 版本:7.11.53.216

 况概描述 传播方法:
   • 局域网络


别名:
   •  Symantec: W32.Randex
   •  TrendMicro: WORM_SDBOT.CKX
   •  Sophos: W32/Sdbot-Fam
   •  Panda: W32/Sdbot.FTB.worm
   •  VirusBuster: Worm.SdBot.BPA
   •  Bitdefender: Backdoor.SDBot.7897B21C


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 注册表修改
   • 第三方控件

 文件 它将本身复制到以下位置:
   • %SYSDIR%\richword.exe

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Alleria" = "richword.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "Alleria" = "richword.exe"

– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Alleria" = "richword.exe"

 网络感染 该恶意软件会尝试以下方式连接其他计算机来作广泛传播/感染。

它会将其本身的副本植入以下网络共享中:
   • IPC$
   • C$\Documents and Settings\All Users\Documents\
   • C$\shared
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\


它使用以下登录信息来访问远程计算机:

– 用户名和密码列表:
   • oeminstall; staff; teacher; student1; student; afro; turnip; glen;
      freddy; fred; bill; intranet; lan; nokia; ctx; headoffice; main;
      userpassword; capitol; winpass; blank; office; mass; control; pink;
      yellow; siemens; compaq; dell; cisco; sqlpass; sql; db1234; db1;
      databasepassword; data; databasepass; dbpassword; dbpass; access;
      database; domainpassword; domainpass; domain; orange; heaven; fish;
      hell; god; sex; fuck; exchnge; exchange; backup; technical; sage; owa;
      loginpass; login; katie; kate; bruce; barbara; sam; ron; luke; peter;
      john; mike; qwe; zxc; asd; qaz; win2000; winnt; winxp; win2k; win98;
      windows; oemuser; oem; user1; user; homeuser; home; accounting;
      accounts; internet; www; web; default; changeme; none; guest; test;
      007; 121; adm; admin; administrateur; administrator; pass1234;
      password1; pwd; pass; passwd; password


 IRC 为了提供系统信息和远程控制,它会连接到以下 IRC 服务器:

服务器: comto.my**********
端口: 5570
通道: #sk
昵称: %八位数的随机字符串%


– 此外,它还能够进行以下操作:
    • 启动 DDoS SYN 洪水攻击
    • 下载文件
    • 执行文件
    • 自行更新

 其他 Mutex:
它会创建以下 Mutex:
   • swapme

 文件详细信息 编程语言:
该恶意软件程序是用 MS Visual C++ 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用以下运行时压缩程序进行压缩:
   • MEW

Beschrijving ingevoegd door Irina Boldea op dinsdag 11 april 2006
Beschrijving bijgewerkt door Irina Boldea op dinsdag 11 april 2006

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.