English
Deutsch
Francais
Español
Italian
Home
Virus Info
BDS/Aimbot.AT
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
BDS/Aimbot.AT - Backdoor Server
Ver também
Sumário
Descrição completa
Estatísticas
How would you rate this information?
Worthless
Excellent
Vírus
BDS/Aimbot.AT
Data em que surgiu:
01/11/2005
Tipo:
Worm
Incluído na lista "In The Wild"
Não
Nível de danos:
Baixo
Nível de distribuição:
Médio
Nível de risco:
Médio
Ficheiro estático:
Sim
Tamanho:
184.320 Bytes
MD5 checksum:
33b5639845c459eb37100da24f9c972c
Versão VDF:
6.32.00.123
Vulgarmente
Meios de transmissão:
• Rede local
• Unidade de rede
• Messenger
Alias:
• Symantec: W32.Spybot.Worm
• Kaspersky: Backdoor.Win32.Aimbot.at
• TrendMicro: WORM_RBOT.CJN
• Bitdefender: Backdoor.Aimbot.AT
Sistemas Operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows 2000
• Windows XP
Efeitos secundários:
• Altera o registo do Windows
• Informação de roubos
• Possibilita acesso não autorizado ao computador
Ficheiros
Autocopia-se para a seguinte localização:
•
%SYSDIR%
\express.exe
Registry (Registo do Windows)
São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• "Outlook Mail Services"="express.exe"
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Outlook Mail Services"="express.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
• "Outlook Mail Services"="express.exe"
É adicionada a seguinte chave de registo:
– HKCR\.key
• @="regfile"
Infecção da rede
Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.
Envia cópias de si próprio às seguintes partilhas de rede:
• IPC$
• ADMIN$
• C$
• D$
Usa a seguinte informação de login para ganhar acesso à máquina remota:
–Nomes de utilizador e palavras-chave guardadas.
– Uma lista de nomes de utilizador e palavras-chave:
• 7; 123; 1234; 2000; 2001; 2002; 2003; 2004; 12345; 123456; 1234567;
12345678; 123456789; 1234567890; access; accounting; accounts; adm;
admin; administrador; administrat; administrateur; administrator;
admins; asd; backup; bill; bitch; blank; bob; brian; changeme; chris;
cisco; compaq; computer; control; data; database; databasepass;
databasepassword; db1; db1234; db2; dba; dbpass; dbpassword; default;
dell; demo; domain; domainpass; domainpassword; eric; exchange; fred;
fuck; george; god; guest; hell; hello; home; homeuser; ian; ibm;
internet; intranet; jen; joe; john; kate; katie; lan; lee; linux;
login; loginpass; luke; mail; main; mary; mike; neil; nokia; none;
null; oem; oeminstall; oemuser; office; oracle; orainstall; outlook;
owner; pass; pass1234; passwd; password1; peter; pwd; qaz; qwe;
qwerty; root; sam; server; sex; siemens; slut; sql; sqlpassoainstall;
staff; student; sue; susan; system; teacher; technical; test; unix;
user; web; win2000; win2k; win98; windows; winnt; winpass; winxp; www;
wwwadmin; zxc
IRC
Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:
Servidor: hoe.**********.com
Canal #sm0keh#
Nickname: USA|
%oito caracteres aleatórios%
Servidor: 9515gay.**********.net
Canal #sm0keh#
Nickname: USA|
%oito caracteres aleatórios%
– Este malware tem a capacidade de recolher e enviar a seguinte informação:
• Palavras-chave armazenadas
• Endereços de E-mail recolhidos
• Velocidade do CPU
• Utilizador Actual
• Espaço disponível no disco
• Memória disponível
• Tempo de vida do malware
• Informações sobre a rede
• Informação sobre processos em execução
• Capacidade da memória
• Directório de sistema
• Nome de utilizador
• Directório do Windows
• Informação sobre o sistema operativo Windows
– Para além disso tem a capacidade de executar as seguintes acções:
• Lança DDoS ICMP floods
• Lança DDoS SYN floods
• Download de ficheiros
• Executa o ficheiro
• Termina processos
• Abre ligações remotas
• Executa pesquisas na rede
• Inicia a rotina de propagação
• Termina processos
• Actualiza-se a ele próprio
• Upload de ficheiros
Informações diversas
Mutex:
Cria o seguinte Mutex:
• asdfss
Detalhes do ficheiro
Linguagem de programação:
Ficheiro escrito em MS Visual C++.
Veja
aqui
uma breve descrição.
Descrição adicionada por Irina Boldea em Tue, 01 Nov 2005 15:32 (GMT+1)
Descrição adicionada por Irina Boldea em Mon, 07 Nov 2005 15:08 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Netsky.J
Worm/Mytob.AT
Worm/Mytob.AD
Worm/Klez.E
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
JS/Dldr.Agent.cex
TR/Dldr.Tiny.bqw
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info BDS/Aimbot.AT
Print this page
.gif)
