Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/SdBot.41984.42
Data em que surgiu:07/08/2007
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:De baixo a mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:41.984 Bytes
MD5 checksum:8f8b66e936ba101efc6e3cb5d1dec814
Verso IVDF:6.39.00.219 - terça-feira, 7 de agosto de 2007

 Vulgarmente Meio de transmisso:
    Messenger


Alias:
   •  Mcafee: W32/Checkout
   •  Kaspersky: Backdoor.Win32.SdBot.aad
   •  F-Secure: Backdoor.Win32.SdBot.aad
   •  Sophos: W32/Imagine-A
   •  Panda: W32/MSNPoopy.A.worm
   •  Grisoft: IRC-Worm/Delf.CF
   •  Eset: Win32/IRCBot.XZ
   •  Bitdefender: Backdoor.Sdbot.AUX


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Desactiva aplicaes de segurana
   • Descarrega ficheiros
   • Baixa as definies de segurana
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Informao de roubos
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localizao:
   • %WINDIR%\svchost.exe



Copia-se dentro de um ficheiro para a localizao seguinte:
   • %WINDIR%\img1756.zip



Elimina o seguinte ficheiro:
   • C:\a.bat



criado o seguinte ficheiro:

C:\a.bat Alm disso executa-se depois de gerado. Este ficheiro de processamento em lote usado para apagar um ficheiro.



Tenta executar o seguinte ficheiro:

Executa um dos seguintes ficheiros:
   • %SYSDIR%\net.exe
Executa o ficheiro com um dos seguintes parmetros: stop "Security Center"


Executa um dos seguintes ficheiros:
   • %SYSDIR%\net.exe
Executa o ficheiro com um dos seguintes parmetros: stop winvnc4


Executa um dos seguintes ficheiros:
   • %SYSDIR%\net1.exe
Executa o ficheiro com um dos seguintes parmetros: stop "Security Center"


Executa um dos seguintes ficheiros:
   • %SYSDIR%\net1.exe
Executa o ficheiro com um dos seguintes parmetros: stop winvnc4

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Genuine Logon"="svchost.exe"

 Messenger Propaga-se atravs do Messenger. Tem as seguintes caractersticas:

Windows Live Messenger


Mensagem
A mensagem enviada parece-se com uma das seguintes:

   • look @ my cute new puppy :-D

   • look @ this picture of me, when I was a kid

   • I just took this picture with my webcam, like it?

   • check it, i shaved my head

   • have u seen my new hair?

   • what the fuck, did you see this?

   • hey man, did you take this picture?


Propagao por ficheiro
Envia um ficheiro com o seguinte nome :
   • img1756.zip

 IRC Para enviar informaes do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: vpn.basecore.**********
Porta: 1863
Palavra-chave do servidor: letmein
Canal #VPN#
Nickname: %uma srie de caracteres aleatrios%
Palavra-chave torrent



 Este malware tem a capacidade de recolher e enviar a seguinte informao:
    • Tempo de vida do malware
    • Informao sobre o sistema operativo Windows


 Para alm disso tem a capacidade de executar as seguintes aces:
     Desliga-se do servidor de IRC
    • Download de ficheiros
    • Executa o ficheiro
    • Termina processos
    • Reinicia
     Inicia a rotina de propagao
     Actualiza-se a ele prprio

 Terminar o processo  Lista de servios desactivados:
   • Security Center
   • winvnc4

 Informaes diversas Mutex:
Cria o seguinte Mutex:
   • JFangaY

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Adriana Popa em sexta-feira, 9 de novembro de 2007
Descrição atualizada por Adriana Popa em sexta-feira, 9 de novembro de 2007

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.