VírusBDS/Bot.67456
Data em que surgiu:08/12/2008
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:118.784 Bytes
MD5 checksum:1d5fad8636788d69e03324493fc1d985
Versão IVDF:7.01.00.204 - segunda-feira, 8 de dezembro de 2008

 Vulgarmente Meio de transmissão:
   • Autorun feature (pt)


Alias:
   •  Mcafee: W32/Sdbot.worm.gen.ay
   •  Sophos: W32/SdBot-DOE
   •  Panda: W32/Autorun.IWS.worm
   •  Eset: Win32/AutoRun.IRCBot.AF
   •  Bitdefender: Backdoor.Bot.67456


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %unidade%\SYSTEM\%CLSID%\system32.exe



São criados os seguintes ficheiros:

%unidade%\SYSTEM\%CLSID%\Desktop.ini
%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   •

 Registry (Registo do Windows) São adicionadas as seguintes chaves ao registo:

– [HKLM\SOFTWARE\Classes\.key]
   • "@"="regfile"

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {28ABC5C0-4FCB-11CF-AAX5-21CX1C643131}]
   • "StubPath"="c:\SYSTEM\%CLSID%\system32.exe"

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: by1msg37791302.geteway.edge.mq**********.com
Porta: 1863
Nickname: [l4M3r]%uma série de caracteres aleatórios%

 Introdução de código viral noutros processos – Introduz-se a si próprio como uma tarefa num processo.

    Nome do processo:
   • explorer.exe


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em terça-feira, 2 de março de 2010
Descrição atualizada por Petre Galan em quarta-feira, 3 de março de 2010

Voltar . . . .