Имя:Worm/SdBot.138752.8
Обнаружен:20/08/2007
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:138.752 байт.
Контрольная сумма MD5:5101877e880Eae72419d17cef84ee9b9
Версия IVDF:6.39.01.22 - понедельник, 20 августа 2007 г.

 Общее Метод распространения:
   • Messenger


Псевдонимы (аliases):
   •  Mcafee: W32/Sdbot.worm
   •  Kaspersky: Backdoor.Win32.SdBot.blt
   •  Eset: Win32/IRCBot.YW


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отключение приложений безопасности
   • Создает файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Использует уязвимость ПО
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %WINDIR%\winsyshp.exe



Создается архив со своей собственной копией внутри:
   • %WINDIR%\img317.zip



Удаляется следующий файл:
   • C:\a.bat



Создается файл:

– C:\a.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.



Пытается запустить на выполнение следующие файлы:

– Имя файла:
   • %SYSDIR%\net.exe
с помощью следующего параметра командной строки: stop "Security Center"


– Имя файла:
   • %SYSDIR%\net.exe
с помощью следующего параметра командной строки: stop winvnc4


– Имя файла:
   • %SYSDIR%\net1.exe
с помощью следующего параметра командной строки: stop "Security Center"


– Имя файла:
   • %SYSDIR%\net1.exe
с помощью следующего параметра командной строки: stop winvnc4

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Visual Application"="winsyshp.exe"

 Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– Windows Live Messenger


Сообщение
Отправленное сообщение может иметь один из следующих видов:

   • Why is this picture blurry?

   • Look @ my new car?

   • Where did you find this picture?

   • why did you show me this picture?

   • look at my baby picture

   • Did you see this?

   • Where is this picture taken?

   • Did you take this picture?

   • you drunk 2 much in this picture

   • Why are you naked in this picture?

   • look @ this

   • accept this picture

   • hey, mom my just told me 2 show this 2 you


Распространение через файлы
Отправляется файл со следующим именем:
   • img317.zip

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: pwn.basecore.**********
Порт: 1863
Пароль сервера: letmein
Канал: #PWN#
Имя: %случайная буквенная комбинация%
Пароль: torrent



– Вредоносный объект имеет способность собирать и передавать следующую информацию:
    • Время жизни вредоносной программы
    • Информация об операционной системе Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • разорвать соединение с IRC сервером
    • Загрузить файл
    • Запустить файл
    • Остановить процесс
    • Перезапустить систему
    • Запуск процедуры распространения
    • Обновляется самостоятельно

 Завершение процесса  Список завершаемых служб:
   • Security Center
   • winvnc4

 Разное Мьютекс:
Создается мьютекс:
   • fjasdf

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Adriana Popa в(о) пятница, 9 ноября 2007 г.
Описание обновил Adriana Popa в(о) пятница, 9 ноября 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.