English
Deutsch
Español
Italian
Home
Virus Info
Worm/Gobot.S
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Gobot.S - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/Gobot.S
Обнаружен:
22/11/2005
Вид:
Червь
В реальных условиях:
Да
Отмеченные факты заражения:
Низкий
Потенциал распространения:
От среднего до высокого
Потенциал повреждений:
Средний
Файл статистики:
Нет
Размер файла:
~41.200 байт.
Версия VDF:
6.26.00.56
Общее
Методы распространения:
• Локальная сеть
• Одноранговая сеть
Псевдонимы (аliases):
• Kaspersky: Backdoor.Win32.Gobot.s
• TrendMicro: WORM_GOBOT.S
• F-Secure: W32/Agobot.AVU
• Sophos: W32/Gobot-C
• Bitdefender: Backdoor.Gabot.A
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Отслеживается и записывает введенные с клавиатуры символы
• Изменение реестра
• Использует уязвимость ПО
• Похищает информацию
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создается собственная копия:
•
%WINDIR%
\
%случайная буквенная комбинация%
.exe
Создается файл:
–
%WINDIR%
\setup.txt Файл содержит строки введенных с клавиатуры символов
Реестр
Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• AVPCC =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NPROTECT =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• SMC =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NETUTILS =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NTXCONFIG =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• LDNETMON =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• CONNECTIONMONITOR =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NVSVC32 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• AVSYNMGR =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• ERICS =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NAVENGNAVEX15 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NAV AUTO-PROTECT =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• CPDCLNT =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• MPFSERVICE =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• MPFTRAY =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• PORTMONITOR =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• CPDCLNT =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• VSHWIN32 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• VSECOMR =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• WEBSCANX =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• TCMON =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• ALOGSERV =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• CMGRDIAN =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• RULAUNCH =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• DVP95 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• PROCESSMONITOR =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• FRW =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NAVAP =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NAVAPW32 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• DEFWATCH =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• GENERICS =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NAVAPSVC =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NTVDM =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NAVWNT =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NAVLU32 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• LUALL =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• SWNETSUP =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• ICLOAD95 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• TDS-3 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• ICMON =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• ICSUPP95 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• IFACE =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• ADVXDWIN =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• PADMIN =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• RAV7WIN =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• WATCHDOG =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• MINILOG =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• P-WIN =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NDD32 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• FNRB32 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NMAIN =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• IAMSERV =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NPSCHECK =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• AGENTW =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• PERSFW =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• PERSWF =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• LOCKDOWN =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• SPYXX =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• WEBTRAP =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• ATCON =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NPROTECT =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• WGFE95 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• ZONEALARM =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• VSMON =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• AVKSERV =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• MPFAGENT =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• MPFSERVICE =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• MPFTRAY =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• PORTMONITOR =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• VSHWIN32 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• WEBSCANX =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• VSSTAT =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• PCCWIN98 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• ATUPDATE =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• AVCONSOL =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NSCHED32 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• KAVDOS32 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• ESPWATCH =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NEOWATCHLOG =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• AUTOTRACE =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• AUTODOWN =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• VETTRAY =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• SAFEWEB =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• VSCAN40 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• CFIADMIN =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• LUCOMSERVE =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• RVE =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• TFAK =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• VBCMSERV =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NWTOOL16 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• AVP32 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• ANTI-TROJAN =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NWSERVICE =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• CTRL =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• NAVNT =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• AVXMONITORNT =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• AVPDOS32 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
• AVPTC32 =
%WINDIR%
\
%случайная буквенная комбинация%
.exe
P2P
Предпринимаемые для инфицирования других систем в одноранговой сети действия: Для определения стандартных папок для загрузки происходит обращение к реестру:
• HKCU\Software\Kazaa\localcontent
• HKCU\Software\Limewire
• HKCU\Software\Shareaza
• HKCU\Software\Morpheus
• HKCU\Software\Xolox
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\edonkey2000
При успешном завершении поиска создаются следующие файлы:
• AIM_Account_Stealer_Crack.exe; AIM_Account_Stealer_Crack.exe;
AIM_Account_Stealer_Full.exe; AIM_Account_Stealer_Full.exe;
AIM_Account_Stealer_ISO_Full.exe;
AIM_Account_Stealer_Key_Generator.exe; AIM_Account_Stealer_Patch.exe;
AIM_Account_Stealer_Patch.exe; Cat_Attacks_Child_Crack.exe;
Cat_Attacks_Child_Full.exe; Cat_Attacks_Child_ISO_Full.exe;
Cat_Attacks_Child_ISO_Full.exe; Cat_Attacks_Child_Key_Generator.exe;
Cat_Attacks_Child_Key_Generator.exe; Cat_Attacks_Child_Patch.exe;
CKY3_Bam_Margera_World_Industries_Alien_Workshop_Crack.exe;
CKY3_Bam_Margera_World_Industries_Alien_Workshop_Full.exe;
CKY3_Bam_Margera_World_Industries_Alien_Workshop_ISO_Full.exe;
CKY3_Bam_Margera_World_Industries_Alien_Workshop_Key_Generator.exe;
CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe;
CKY3_Bam_Margera_World_Industries_Alien_Workshop_Patch.exe;
DSL_Modem_Uncapper_Crack.exe; DSL_Modem_Uncapper_Crack.exe;
DSL_Modem_Uncapper_Full.exe; DSL_Modem_Uncapper_Full.exe;
DSL_Modem_Uncapper_ISO_Full.exe; DSL_Modem_Uncapper_ISO_Full.exe;
DSL_Modem_Uncapper_Key_Generator.exe; DSL_Modem_Uncapper_Patch.exe;
Hacking_Tool_Collection_Crack.exe; Hacking_Tool_Collection_Crack.exe;
Hacking_Tool_Collection_Full.exe;
Hacking_Tool_Collection_ISO_Full.exe;
Hacking_Tool_Collection_Key_Generator.exe;
Hacking_Tool_Collection_Patch.exe; Hacking_Tool_Collection_Patch.exe;
Internet_and_Computer_Speed_Booster_Crack.exe;
Internet_and_Computer_Speed_Booster_Crack.exe;
Internet_and_Computer_Speed_Booster_Full.exe;
Internet_and_Computer_Speed_Booster_ISO_Full.exe;
Internet_and_Computer_Speed_Booster_Key_Generator.exe;
Internet_and_Computer_Speed_Booster_Patch.exe;
Macromedia_Flash_5.0_Crack.exe; Macromedia_Flash_5.0_Full.exe;
Macromedia_Flash_5.0_ISO_Full.exe; Macromedia_Flash_5.0_ISO_Full.exe;
Macromedia_Flash_5.0_Key_Generator.exe;
Macromedia_Flash_5.0_Key_Generator.exe;
Macromedia_Flash_5.0_Patch.exe;
MSN_Password_Hacker_and_Stealer_Crack.exe;
MSN_Password_Hacker_and_Stealer_Full.exe;
MSN_Password_Hacker_and_Stealer_Full.exe;
MSN_Password_Hacker_and_Stealer_ISO_Full.exe;
MSN_Password_Hacker_and_Stealer_Key_Generator.exe;
MSN_Password_Hacker_and_Stealer_Patch.exe; Windows_XP_Crack.exe;
Windows_XP_Crack.exe; Windows_XP_Full.exe; Windows_XP_Full.exe;
Windows_XP_ISO_Full.exe; Windows_XP_Key_Generator.exe;
Windows_XP_Key_Generator.exe; Windows_XP_Patch.exe;
ZoneAlarm_Firewall_Crack.exe; ZoneAlarm_Firewall_Full.exe;
ZoneAlarm_Firewall_ISO_Full.exe; ZoneAlarm_Firewall_Patch.exe;
ZoneAlarm_Firewall_Patch.exe
Файлы являются копиями потенциально опасной программы
Сетевое инфицирование
Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.
Эксплойт:
Используется следующая брешь в безопасности:
– Утилита удаленного администрирования Mydoom (порт 3127)
IRC
Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:
Сервер: 217.160.**********.243
Порт: 6659
Канал: #GhostBot
Имя:
%актуальное имя пользователя%
%множестов случайных чисел от 0 до 9%
Пароль: x-bot6659
– Данная вредоносная программа способна собирать и передавать следующую информацию:
• Скорость процессора
• Текущий пользователь
• Свободное место на диске
• Свободная оперативная память
• Информация о сети
• Объем памяти
• Имя пользователя
– Вредоносная программа обладает способностью выполнять следующие действия:
• Начать DDoS SYN атаку
• Загрузить файл
• Запустить файл
• Остановить процесс
• Остановить процесс
Данные файла
Язык программирования:
Программа была написана на MS Visual C++.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
Краткое описание см.
здесь
.
Описание добавлено: Andrei Gherman Wed, 23 Nov 2005 10:40 (GMT+1)
Описание обновлено: Andrei Gherman Thu, 24 Nov 2005 15:38 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
W32/Elkern.C
TR/Crypt.CFI.Gen
Worm/KillAV.GR
Worm/Mytob.AP
Worm/Mytob.AT
TR/Crypt.PEPM.Gen
TR/Vundo.ewz.9
TR/Monderb.318720
Worm/IrcBot.39673.1
TR/PSW.Steam.DU
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Gobot.S
Print this page
.gif)
