Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/SdBot.34709
Data em que surgiu:29/11/2005
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:34.709 Bytes
MD5 checksum:3d6bd481eb390817f5599465dffc7986
Versão VDF:6.32.00.234

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Symantec: W32.Randex
   •  TrendMicro: WORM_SDBOT.CKX
   •  Sophos: W32/Sdbot-Fam
   •  Panda: W32/Sdbot.FTB.worm
   •  VirusBuster: Worm.SdBot.BPA
   •  Bitdefender: Backdoor.SDBot.7897B21C


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\richword.exe

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Alleria" = "richword.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
   • "Alleria" = "richword.exe"

– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Alleria" = "richword.exe"

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • IPC$
   • C$\Documents and Settings\All Users\Documents\
   • C$\shared
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\


Usa a seguinte informação de login para ganhar acesso à máquina remota:

– Uma lista de nomes de utilizador e palavras-chave:
   • oeminstall; staff; teacher; student1; student; afro; turnip; glen;
      freddy; fred; bill; intranet; lan; nokia; ctx; headoffice; main;
      userpassword; capitol; winpass; blank; office; mass; control; pink;
      yellow; siemens; compaq; dell; cisco; sqlpass; sql; db1234; db1;
      databasepassword; data; databasepass; dbpassword; dbpass; access;
      database; domainpassword; domainpass; domain; orange; heaven; fish;
      hell; god; sex; fuck; exchnge; exchange; backup; technical; sage; owa;
      loginpass; login; katie; kate; bruce; barbara; sam; ron; luke; peter;
      john; mike; qwe; zxc; asd; qaz; win2000; winnt; winxp; win2k; win98;
      windows; oemuser; oem; user1; user; homeuser; home; accounting;
      accounts; internet; www; web; default; changeme; none; guest; test;
      007; 121; adm; admin; administrateur; administrator; pass1234;
      password1; pwd; pass; passwd; password


 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: comto.my**********
Porta: 5570
Canal #sk
Nickname: %oito caracteres aleatórios%


– Para além disso tem a capacidade de executar a seguinte acção:
    • Lança DDoS SYN floods
    • Download de ficheiros
    • Executa o ficheiro
    • Actualiza-se a ele próprio

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • swapme

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • MEW

Descrição enviada por Irina Boldea em terça-feira, 11 de abril de 2006
Descrição atualizada por Irina Boldea em terça-feira, 11 de abril de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.