Имя:Worm/SdBot.41984.42
Обнаружен:07/08/2007
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:41.984 байт.
Контрольная сумма MD5:8f8b66e936ba101efc6e3cb5d1dec814
Версия IVDF:6.39.00.219 - вторник, 7 августа 2007 г.

 Общее Метод распространения:
   • Messenger


Псевдонимы (аliases):
   •  Mcafee: W32/Checkout
   •  Kaspersky: Backdoor.Win32.SdBot.aad
   •  F-Secure: Backdoor.Win32.SdBot.aad
   •  Sophos: W32/Imagine-A
   •  Panda: W32/MSNPoopy.A.worm
   •  Grisoft: IRC-Worm/Delf.CF
   •  Eset: Win32/IRCBot.XZ
   •  Bitdefender: Backdoor.Sdbot.AUX


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отключение приложений безопасности
   • Создает файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Использует уязвимость ПО
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %WINDIR%\svchost.exe



Создается архив со своей собственной копией внутри:
   • %WINDIR%\img1756.zip



Удаляется следующий файл:
   • C:\a.bat



Создается файл:

– C:\a.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.



Пытается запустить на выполнение следующие файлы:

– Имя файла:
   • %SYSDIR%\net.exe
с помощью следующего параметра командной строки: stop "Security Center"


– Имя файла:
   • %SYSDIR%\net.exe
с помощью следующего параметра командной строки: stop winvnc4


– Имя файла:
   • %SYSDIR%\net1.exe
с помощью следующего параметра командной строки: stop "Security Center"


– Имя файла:
   • %SYSDIR%\net1.exe
с помощью следующего параметра командной строки: stop winvnc4

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Genuine Logon"="svchost.exe"

 Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– Windows Live Messenger


Сообщение
Отправленное сообщение может иметь один из следующих видов:

   • look @ my cute new puppy :-D

   • look @ this picture of me, when I was a kid

   • I just took this picture with my webcam, like it?

   • check it, i shaved my head

   • have u seen my new hair?

   • what the fuck, did you see this?

   • hey man, did you take this picture?


Распространение через файлы
Отправляется файл со следующим именем:
   • img1756.zip

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: vpn.basecore.**********
Порт: 1863
Пароль сервера: letmein
Канал: #VPN#
Имя: %случайная буквенная комбинация%
Пароль: torrent



– Вредоносный объект имеет способность собирать и передавать следующую информацию:
    • Время жизни вредоносной программы
    • Информация об операционной системе Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • разорвать соединение с IRC сервером
    • Загрузить файл
    • Запустить файл
    • Остановить процесс
    • Перезапустить систему
    • Запуск процедуры распространения
    • Обновляется самостоятельно

 Завершение процесса  Список завершаемых служб:
   • Security Center
   • winvnc4

 Разное Мьютекс:
Создается мьютекс:
   • JFangaY

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Adriana Popa в(о) пятница, 9 ноября 2007 г.
Описание обновил Adriana Popa в(о) пятница, 9 ноября 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.