English
Deutsch
Francais
Español
Italian
Home
Virus Info
BDS/VanBot.S.1
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
BDS/VanBot.S.1 - Backdoor Server
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
BDS/VanBot.S.1
Обнаружен:
26/09/2006
Вид:
Backdoor сервер
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Средний
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
73.216 байт.
Контрольная сумма MD5:
0444ebc4f529043cd9eecdae744af545
Версия VDF:
6.36.00.60
Версия IVDF:
6.36.00.73
Общее
Метод распространения:
• Локальная сеть
Псевдонимы (аliases):
• Mcafee: W32/Sdbot.worm!73216
• Kaspersky: Backdoor.Win32.VanBot.s
• TrendMicro: WORM_SPYBOT.JQ
• Sophos: W32/Sdbot-CRU
• VirusBuster: trojan Backdoor.VanBot.K
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Загружает файл
• Создает файл
• Изменение реестра
• Использует уязвимость ПО
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создается собственная копия:
•
%SYSDIR%
\winlogin.exe
Попытка загрузки следующего файла:
– Следующий URL:
• http://dl1.debelizombi.com/**********
Сохраняется локально в:
%TEMPDIR%
\dl
%случайная комбинация букв из семи букв%
.exe
Реестр
Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "Windows Logon"="
%SYSDIR%
\winlogin.exe"
– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• "Windows Logon"="
%SYSDIR%
\winlogin.exe"
Изменяется следующий ключ реестра:
– HKLM\SOFTWARE\Microsoft\Ole
Прежнее значение:
• "EnableDCOM"="Y"
Новое значение:
• "EnableDCOM"="N"
Сетевое инфицирование
Эксплойт:
Используются следующие бреши в безопасности:
–
MS03-026
(Переполнение буфера RPC Interface)
–
MS06-040
(Уязвимость в серверной службе)
IRC
Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:
Сервер: ircc.debelizombi**********
Порт: 8008
Канал: #!v20!
– Данная вредоносная программа способна собирать и передавать следующую информацию:
• Время жизни вредоносной программы
• Информация о запущенных процессах
• Информация об операционной системе Windows
– Вредоносная программа обладает способностью выполнять следующие действия:
• установить соедиениение с IRC сервером
• разорвать соединение с IRC сервером
• Запустить файл
• Войти в чат-комнату IRC
• Остановить процесс
• Покинуть чат-комнату IRC
• Открытие удаленного интерфейса
• Произвести DDoS атаку
• Проверка сети
Разное
Мьютекс:
Создается мьютекс:
• rxRizzo_v2.0
Данные файла
Язык программирования:
Программа была написана на MS Visual C++.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• Morphine
Краткое описание см.
здесь
.
Описание добавлено: Bogdan Iliuta Wed, 11 Oct 2006 11:14 (GMT+1)
Описание обновлено: Bogdan Iliuta Fri, 27 Oct 2006 15:01 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Bagle.FJ
W32/Elkern.C
Worm/Mytob.DH
Worm/Netsky.D.Dam
Worm/Lovgate.W
TR/Dldr.Agent.aizj
JS/Dldr.Small.CR.2
TR/Dldr.Agent.XAE
JS/Dldr.Agent.bbt
HTML/IFrame.800
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info BDS/VanBot.S.1
Print this page
.gif)
