Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:BDS/Ruskill.db.1
Обнаружен:03/06/2011
Вид:Backdoor сервер
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Размер файла:167.936 байт.
Контрольная сумма MD5:0A415C119E0B5447FE9174B242896222
Версия VDF:7.11.08.254 - пятница, 3 июня 2011 г.
Версия IVDF:7.11.08.254 - пятница, 3 июня 2011 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: W32/Kolab
   •  TrendMicro: WORM_DORKBOT.ZC
   •  Sophos: Mal/VB-YG


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Последствия:
   • Создает файлы
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %APPDATA%\%случайная буквенная комбинация%.exe



Выполненная копия программы удаляется.

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%случайная буквенная комбинация%"="%APPDATA%\%случайная буквенная комбинация%.exe"

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: **********ukenke.com
Порт: 7777
Пароль сервера: laekin0505x
Канал: #totalrenovation2011
Имя: {%random caracters%}%random caracters%
Пароль: ngrBot

Сервер: **********fina.com
Порт: 7777
Пароль сервера: laekin0505x
Канал: #totalrenovation2011
Имя: {%random caracters%}%random caracters%
Пароль: ngrBot

Сервер: **********aa.com
Порт: 7777
Пароль сервера: laekin0505x
Канал: #totalrenovation2011
Имя: {%random caracters%}%random caracters%
Пароль: ngrBot

Сервер: **********cc.com
Порт: 7777
Пароль сервера: laekin0505x
Канал: #totalrenovation2011
Имя: {%random caracters%}%random caracters%
Пароль: ngrBot

Сервер: **********ss.com
Порт: 7777
Пароль сервера: laekin0505x
Канал: #totalrenovation2011
Имя: {%random caracters%}%random caracters%
Пароль: ngrBot



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Текущий пользователь
    • Информация об операционной системе Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • разорвать соединение с IRC сервером
    • Войти в чат-комнату IRC
    • Покинуть чат-комнату IRC

 Инфицирование – Включает себя в процессы в качестве удаленного потока.

    Все следующие процессы:
   • explorer.exe
   • csrss.exe
   • services.exe
   • smss.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • winlogon.exe


 Разное Доступ к интернет-ресурсам:
   • http://api.wipmania.com/

Описание добавил Andrei Ilie в(о) вторник, 9 августа 2011 г.
Описание обновил Andrei Ilie в(о) вторник, 9 августа 2011 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.