English
Deutsch
Francais
Español
Italian
Home
Virus Info
BDS/Aimbot.AT
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
BDS/Aimbot.AT - Backdoor Server
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
BDS/Aimbot.AT
Обнаружен:
01/11/2005
Вид:
Червь
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Средний
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
184.320 байт.
Контрольная сумма MD5:
33b5639845c459eb37100da24f9c972c
Версия VDF:
6.32.00.123
Общее
Методы распространения:
• Локальная сеть
• Подключенные сетевые диски
• Messenger
Псевдонимы (аliases):
• Symantec: W32.Spybot.Worm
• Kaspersky: Backdoor.Win32.Aimbot.at
• TrendMicro: WORM_RBOT.CJN
• Bitdefender: Backdoor.Aimbot.AT
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows 2000
• Windows XP
Последствия:
• Изменение реестра
• Похищает информацию
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создается собственная копия:
•
%SYSDIR%
\express.exe
Реестр
Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.
– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• "Outlook Mail Services"="express.exe"
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Outlook Mail Services"="express.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
• "Outlook Mail Services"="express.exe"
Добавляется следующий ключ реестра:
– HKCR\.key
• @="regfile"
Сетевое инфицирование
Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.
Копия объекта помещается в следующие сетевые ресурсы общего доступа:
• IPC$
• ADMIN$
• C$
• D$
Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:
–Закэшированные имена пользователей и пароли.
– Список имен пользователей и паролей:
• 7; 123; 1234; 2000; 2001; 2002; 2003; 2004; 12345; 123456; 1234567;
12345678; 123456789; 1234567890; access; accounting; accounts; adm;
admin; administrador; administrat; administrateur; administrator;
admins; asd; backup; bill; bitch; blank; bob; brian; changeme; chris;
cisco; compaq; computer; control; data; database; databasepass;
databasepassword; db1; db1234; db2; dba; dbpass; dbpassword; default;
dell; demo; domain; domainpass; domainpassword; eric; exchange; fred;
fuck; george; god; guest; hell; hello; home; homeuser; ian; ibm;
internet; intranet; jen; joe; john; kate; katie; lan; lee; linux;
login; loginpass; luke; mail; main; mary; mike; neil; nokia; none;
null; oem; oeminstall; oemuser; office; oracle; orainstall; outlook;
owner; pass; pass1234; passwd; password1; peter; pwd; qaz; qwe;
qwerty; root; sam; server; sex; siemens; slut; sql; sqlpassoainstall;
staff; student; sue; susan; system; teacher; technical; test; unix;
user; web; win2000; win2k; win98; windows; winnt; winpass; winxp; www;
wwwadmin; zxc
IRC
Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:
Сервер: hoe.**********.com
Канал: #sm0keh#
Имя: USA|
%случайная комбинация букв из восьми букв%
Сервер: 9515gay.**********.net
Канал: #sm0keh#
Имя: USA|
%случайная комбинация букв из восьми букв%
– Данная вредоносная программа способна собирать и передавать следующую информацию:
• Кэшированные пароли
• Собранные электронные адреса
• Скорость процессора
• Текущий пользователь
• Свободное место на диске
• Свободная оперативная память
• Время жизни вредоносной программы
• Информация о сети
• Информация о запущенных процессах
• Объем памяти
• Системная папка
• Имя пользователя
• папка Windows
• Информация об операционной системе Windows
– Вредоносная программа обладает способностью выполнять следующие действия:
• Начать DDoS ICMP атаку
• Начать DDoS SYN атаку
• Загрузить файл
• Запустить файл
• Остановить процесс
• Открытие удаленного интерфейса
• Проверка сети
• Запуск процедуры распространения
• Остановить процесс
• Обновляется самостоятельно
• Загрузить файл
Разное
Мьютекс:
Создается мьютекс:
• asdfss
Данные файла
Язык программирования:
Программа была написана на MS Visual C++.
Краткое описание см.
здесь
.
Описание добавлено: Irina Boldea Tue, 01 Nov 2005 15:32 (GMT+1)
Описание обновлено: Irina Boldea Mon, 07 Nov 2005 15:08 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
W32/Elkern.C
Worm/Mytob.AT
Worm/Mytob.U
Worm/Lovgate.W
Worm/Klez.E
DR/Agent.abpc
TR/Spy.Banker.okm.2
EXP/MS08-067.C
JAVA/Dldr.Small.A
TR/Spy.Banker.get
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info BDS/Aimbot.AT
Print this page
.gif)
