Имя:BDS/Bot.67456
Обнаружен:08/12/2008
Вид:Backdoor сервер
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:118.784 байт.
Контрольная сумма MD5:1d5fad8636788d69e03324493fc1d985
Версия IVDF:7.01.00.204 - понедельник, 8 декабря 2008 г.

 Общее Метод распространения:
   • Autorun feature (ru)


Псевдонимы (аliases):
   •  Mcafee: W32/Sdbot.worm.gen.ay
   •  Sophos: W32/SdBot-DOE
   •  Panda: W32/Autorun.IWS.worm
   •  Eset: Win32/AutoRun.IRCBot.AF
   •  Bitdefender: Backdoor.Bot.67456


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %Диск%\SYSTEM\%CLSID%\system32.exe



Создаются следующие файлы:

%Диск%\SYSTEM\%CLSID%\Desktop.ini
%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   •

 Реестр Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\Classes\.key]
   • "@"="regfile"

– [HKLM\Software\Microsoft\Active Setup\Installed Components\
   {28ABC5C0-4FCB-11CF-AAX5-21CX1C643131}]
   • "StubPath"="c:\SYSTEM\%CLSID%\system32.exe"

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: by1msg37791302.geteway.edge.mq**********.com
Порт: 1863
Имя: [l4M3r]%случайная буквенная комбинация%

 Инфицирование – Вставляется в процесс в качестве программного потока.

    Имя процесса:
   • explorer.exe


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) вторник, 2 марта 2010 г.
Описание обновил Petre Galan в(о) среда, 3 марта 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.