English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Sdbot.134144.17
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Sdbot.134144.17 - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/Sdbot.134144.17
Обнаружен:
02/10/2006
Вид:
Червь
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
От среднего до высокого
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
134.144 байт.
Контрольная сумма MD5:
58455b367f74dbfb8c9e4d2ef7f7fe31
Версия VDF:
6.36.00.71
Версия IVDF:
6.36.00.86
Общее
Методы распространения:
• Локальная сеть
• Messenger
Псевдонимы (аliases):
• Kaspersky: Backdoor.Win32.IRCBot.wo
• F-Secure: W32/SdBot.AXS
• Sophos: W32/Vanebot-R
• Eset: Win32/IRCBot.UK
Операционные системы:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Отключение приложений безопасности
• Снижает уровень настроек безопасности
• Отслеживается и записывает введенные с клавиатуры символы
• Изменение реестра
• Похищает информацию
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создается собственная копия:
•
%SYSDIR%
\dllcache\mssecure32.exe
Выполненная копия программы удаляется.
Реестр
Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.
– [HKLM\SYSTEM\CurrentControlSet\Services\
Microsoft Security Login Service]
• "Type"=dword:00000110
• "Start"=dword:00000002
• "ErrorControl"=dword:00000000
• "ImagePath"=""
%SYSDIR%
\dllcache\mssecure32.exe""
• "DisplayName"="Microsoft Security Login Service"
• "ObjectName"="LocalSystem"
• "FailureActions"=
%шестнадцатиричное значение%
• "Description"="Microsoft Security Login Service."
– [HKLM\SYSTEM\CurrentControlSet\Services\
Microsoft Security Login Service\Security]
• "Security"=
%шестнадцатиричное значение%
– [HKLM\SYSTEM\CurrentControlSet\Services\
Microsoft Security Login Service\Enum]
• "0"="Root\\LEGACY_MICROSOFT_SECURITY_LOGIN_SERVICE\\0000"
• "Count"=dword:00000001
• "NextInstance"=dword:00000001
Создание следующего элемента для "обхода" брандмауера Windows XP:
– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]
• "
%SYSDIR%
\dllcache\mssecure32.exe"="
%SYSDIR%
\dllcache\mssecure32.exe:*:Enabled:Microsoft
Security Login Service"
Добавляются следующие ключи реестра:
– [HKLM\SOFTWARE\ProductName]
– [HKLM\SOFTWARE\ProductName\ProductID]
Изменяются следующие ключи реестра:
Отключение Windows XP Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
Прежнее значение:
• "Start"=
%Настройки пользователя%
Новое значение:
• "Start"=dword:00000004
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Прежнее значение:
• "Start"=
%Настройки пользователя%
Новое значение:
• "Start"=dword:00000004
– [HKLM\SOFTWARE\Microsoft\Ole]
Прежнее значение:
• "EnableDCOM"="Y"
Новое значение:
• "EnableDCOM"="N"
– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
Прежнее значение:
• "lmcompatibilitylevel"=dword:00000000
• "restrictanonymous"=dword:00000000
Новое значение:
• "lmcompatibilitylevel"=dword:00000001
• "restrictanonymous"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
Прежнее значение:
• "Start"=
%Настройки пользователя%
Новое значение:
• "Start"=dword:00000004
– [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
Прежнее значение:
• "DoNotAllowXPSP2"=
%Настройки пользователя%
• "DoNotAllowXPSP3"=
%Настройки пользователя%
Новое значение:
• "DoNotAllowXPSP2"=dword:00000001
• "DoNotAllowXPSP3"=dword:00000001
Messenger
Распространяется с помощью программы Messenger. Основные характеристики:
– AIM Messenger
– ICQ Messenger
– MSN Messenger
– Yahoo Messenger
Сетевое инфицирование
Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.
Эксплойт:
Используются следующие бреши в безопасности:
–
MS02-061
(повышение привилегий в SQL Server Web)
–
MS04-007
(Уязвимость ASN.1)
–
MS06-040
(Уязвимость в серверной службе)
IRC
Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:
Сервер: mang.smokedro.**********
Порт: 4512
Канал: #safe#
Имя: [0]USA|
%Операционная система%
[P]
%случайная комбинация из шести букв%
Пароль: mymum
– Вредоносная программа обладает способностью выполнять следующие действия:
• Начать DDoS SYN атаку
• Проверка сети
• Запуск программы контроля клавиатуры
• Обновляется самостоятельно
Завершение процесса
Завершение процессов со следующими последовательностями в именах:
• WindowsServer2003; Windows-XP; Windows-2000; Ad-aware; spyware;
hijack; kav; proc; norton; mcafee; f-pro; lockdown; firewall;
blackice; avg; vsmon; zonea; spybot; nod32; reged; avp; troja; viru;
anti
Список завершаемых служб:
• Norton AntiVirus Auto Protect Service
• Mcshield
• Panda Antivirus
• wuauserv
• Windows Firewall
• wscsvc
Backdoor
Открываются следующие порты:
– mssecure32.exe к произвольному TCP порту для обеспечения FTP сервера.
– mssecure32.exe к произвольному TCP порту
Кража
Попытка кражи следующей информации:
– После посещения следующей веб-страницы была запущена функция протоколирования:
• e-gold.com/srk.asp
– Запуск функции протоколирования при посещении веб-страницы с одной из следующих последовательностей в URL:
• bank
• Bank
• Wells Fargo
• eBay
• e-gold
• iKobo
• PayPal
• StormPay
• WorldPay
• Western Union
– Протоколируется:
• Регистрационная информация
Разное
Мьютекс:
Создается мьютекс:
• NSA
Модификация файла:
Для повышения максимального числа соединений у программы есть восможность изменить tcpip.sys. Этот файл может оказать вредоносное воздействие на систему и разорвать установленное сетевое соединение.
Данные файла
Язык программирования:
Программа была написана на MS Visual C++.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
Краткое описание см.
здесь
.
Описание добавлено: Adriana Popa Wed, 01 Nov 2006 13:30 (GMT+1)
Описание обновлено: Adriana Popa Thu, 02 Nov 2006 14:42 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Bagle.FJ
W32/Elkern.C
TR/Crypt.CFI.Gen
Worm/Mytob.U
Worm/Mytob.CR
DR/Mirar.AJ
EXP/Flash.1275
CC/00233
HEUR-DBLEXT/Crypted
HIDDENEXT/Crypted
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Sdbot.134144.17
Print this page
.gif)
