Имя:BDS/VanBot.S.1
Обнаружен:26/09/2006
Вид:Backdoor сервер
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:73.216 байт.
Контрольная сумма MD5:0444ebc4f529043cd9eecdae744af545
Версия VDF:6.36.00.60
Версия IVDF:6.36.00.73 - понедельник, 2 октября 2006 г.

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Mcafee: W32/Sdbot.worm!73216
   •  Kaspersky: Backdoor.Win32.VanBot.s
   •  TrendMicro: WORM_SPYBOT.JQ
   •  Sophos: W32/Sdbot-CRU
   •  VirusBuster: trojan Backdoor.VanBot.K


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает файл
   • Создает файл
   • Изменение реестра
   • Использует уязвимость ПО
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\winlogin.exe




Попытка загрузки следующего файла:

– Следующий URL:
   • http://dl1.debelizombi.com/**********
Сохраняется локально в: %TEMPDIR%\dl%случайная комбинация букв из семи букв%.exe

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Windows Logon"="%SYSDIR%\winlogin.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Windows Logon"="%SYSDIR%\winlogin.exe"



Изменяется следующий ключ реестра:

– HKLM\SOFTWARE\Microsoft\Ole
   Прежнее значение:
   • "EnableDCOM"="Y"
   Новое значение:
   • "EnableDCOM"="N"

 Сетевое инфицирование Эксплойт:
Используются следующие бреши в безопасности:
– MS03-026 (Переполнение буфера RPC Interface)
– MS06-040 (Уязвимость в серверной службе)

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: ircc.debelizombi**********
Порт: 8008
Канал: #!v20!



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Время жизни вредоносной программы
    • Информация о запущенных процессах
    • Информация об операционной системе Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • разорвать соединение с IRC сервером
    • Запустить файл
    • Войти в чат-комнату IRC
    • Остановить процесс
    • Покинуть чат-комнату IRC
    • Открытие удаленного интерфейса
    • Произвести DDoS атаку
    • Проверка сети

 Разное Мьютекс:
Создается мьютекс:
   • rxRizzo_v2.0

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • Morphine

Описание добавил Bogdan Iliuta в(о) среда, 11 октября 2006 г.
Описание обновил Bogdan Iliuta в(о) пятница, 27 октября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.