Имя:Worm/SdBot.36352
Обнаружен:24/11/2005
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:36.352 байт.
Контрольная сумма MD5:c94aef3f8db3c8d6f7483a1accaccffc
Версия IVDF:6.32.00.223 - четверг, 24 ноября 2005 г.

 Общее Метод распространения:
   • Messenger


Псевдонимы (аliases):
   •  Mcafee: W32/Checkout
   •  Kaspersky: Backdoor.Win32.SdBot.dbo
   •  F-Secure: Backdoor.Win32.SdBot.dbo
   •  Eset: Win32/IRCBot.AHG
   •  Bitdefender: Backdoor.Pushbot.C


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %WINDIR%\live.messenger.com

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • MSN Messenger = live.messenger.com

 Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– Windows Live Messenger


Кому:
Все онлайн строки из списка контактов.

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: **********.milan-fans.com
Порт: 8080
Пароль сервера: oxxdull
Канал: #!msg4!
Имя: [00|USA|%Число%]
Пароль: mmmsg



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Кэшированные пароли
    • Информация о запущенных процессах


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Загрузить файл
    • Запустить файл
    • Запуск процедуры распространения
    • Остановить процесс
    • Обновляется самостоятельно

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Gherman в(о) четверг, 19 июня 2008 г.
Описание обновил Andrei Gherman в(о) четверг, 19 июня 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.