Precisa consertar seu PC?
Contrate um especialista
VírusWorm/SdBot.41984.21
Data em que surgiu:13/12/2012
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:41.984 Bytes
MD5 checksum:ae4ffcbace34e0dda55788637e99b8c1
Versão VDF:7.11.53.216

 Vulgarmente Meios de transmissão:
   • Rede local


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.ev
   •  Sophos: W32/Sdbot-Fam
   •  VirusBuster: Worm.SdBot.BCR
   •  Bitdefender: BehavesLike:Win32.IRC-Backdoor


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\I45903.exe

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Goose"="%SYSDIR%\I45903.exe"

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • \C$\windows\system32\
   • \C$\Documents and Settings\All Users\Documents\
   • \C$\shared\
   • \IPC$\
   • \C$\winnt\system32\
   • \ADMIN$\system32\


Usa a seguinte informação de login para ganhar acesso à máquina remota:

– Uma lista de nomes de utilizador e palavras-chave:
   • 666; 123qaz; 123qwe; admin; administrador; administrateur;
      administrator; afro; bill; billgate; billgates; ctx; fred; freddy;
      fuckyou; glen; internet; intranet; lan; motdepass; nokia; pass;
      pass1234; passwd; pwd; qazwsx; qwe123; qweasd; qweasdzxc; staff;
      student; student1; teacher; turnip; user1; zaq123; zaqxsw; zxc123;
      zxcvbnm



Execução remota:
–Tenta programar uma execução remota do malware, na máquina recentemente infectada. Então usa a função de NetScheduleJobAdd.

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: get.**********.info
Porta: 4480
Canal #lal
Nickname: I%cinco caracteres aleatórios%


– Para além disso tem a capacidade de executar as seguintes acções:
    • Lança DDoS SYN floods
    • Executa pesquisas na rede
    • Actualiza-se a ele próprio

 Roubos de informação Tenta roubar a seguinte informação:

– A seguinte CD Key:
   • Battlefield 2

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com os seguintes empacotadores de runtime
   • Morphine
   • FSG

Descrição enviada por Irina Boldea em sexta-feira, 21 de outubro de 2005
Descrição atualizada por Irina Boldea em quinta-feira, 27 de outubro de 2005

Voltar . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Todos os direitos reservados.

Minha Conta

https:// Esta janela é criptografada para sua segurança.