English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Sdbot.49134
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Sdbot.49134 - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/Sdbot.49134
Обнаружен:
02/11/2006
Вид:
Червь
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
От среднего до высокого
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
49.134 байт.
Контрольная сумма MD5:
30083348f730d111702cfb1babb2d802
Версия VDF:
6.36.00.150
Версия IVDF:
6.36.00.167
Общее
Методы распространения:
• Локальная сеть
• Messenger
Псевдонимы (аliases):
• Kaspersky: Backdoor.Win32.SdBot.ayv
• Grisoft: IRC/BackDoor.SdBot2.KKO
• Eset: IRC/SdBot
• Bitdefender: Backdoor.SDBot.97DDBEF4
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Снижает уровень настроек безопасности
• Изменение реестра
• Использует уязвимость ПО
• Позволяет несанкционированно подключиться к компьютеру
Файлы
Создается собственная копия:
•
%WINDIR%
\syswinxp.exe
Выполненная копия программы удаляется.
Реестр
Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.
– [HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Windows System32\
Security]
• "Security"=
%шестнадцатиричное значение%
– [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
• "Start"=dword:00000004
– [HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Windows System32]
• "Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="
%WINDIR%
\syswinxp.exe"
"DisplayName"="Microsoft Windows System32"
"ObjectName"="LocalSystem"
"FailureActions"=
%шестнадцатиричное значение%
"Description"="Microsoft Windows System32"
– [HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Windows System32\
Enum]
• "0"="Root\\LEGACY_MICROSOFT_WINDOWS_SYSTEM32\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
Удаляются значения следующих ключей реестра:
– [HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings]
• "ProxyServer"
• "ProxyOverride"
• "AutoConfigURL"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
• "Melt"
Создание следующих элементов для "обхода" брандмауера Windows XP:
– [HKLM\SOFTWARE\Microsoft\Security Center]
• "UpdatesDisableNotify"=dword:00000001
• "AntiVirusDisableNotify"=dword:00000001
• "FirewallDisableNotify"=dword:00000001
• "AntiVirusOverride"=dword:00000001
• "FirewallOverride"=dword:00000001
– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
• "EnableFirewall"=dword:00000000
– [HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
• "EnableFirewall"=dword:00000000
Добавляются следующие ключи реестра:
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_MICROSOFT_WINDOWS_SYSTEM32]
• "NextInstance"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_MICROSOFT_WINDOWS_SYSTEM32\0000]
• "Service"="Microsoft Windows System32"
• "Legacy"=dword:00000001
• "ConfigFlags"=dword:00000000
• "Class"="LegacyDriver"
• "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
• "DeviceDesc"="Microsoft Windows System32"
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_MICROSOFT_WINDOWS_SYSTEM32\0000\Control]
• "*NewlyCreated*"=dword:00000000
• "ActiveService"="Microsoft Windows System32"
– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
• "AutoShareWks"=dword:00000000
• "AutoShareServer"=dword:00000000
– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\
parameters]
• "AutoShareWks"=dword:00000000
• "AutoShareServer"=dword:00000000
– [HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
• "DoNotAllowXPSP2"=dword:00000001
Изменяются следующие ключи реестра:
– [HKLM\SYSTEM\CurrentControlSet\Control]
Новое значение:
• "WaitToKillServiceTimeout"="7000"
– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
Новое значение:
• "restrictanonymous"=dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Control\ServiceCurrent]
Новое значение:
• @=dword:0000000d
– [HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr]
Новое значение:
• "Start"=dword:00000004
– [HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
Новое значение:
• "Start"=dword:00000004
– [HKLM\SYSTEM\CurrentControlSet\Services\Messenger]
Новое значение:
• "Start"=dword:00000004
– [HKLM\SOFTWARE\Microsoft\Ole]
Новое значение:
• "EnableDCOM"="N"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
Auto Update]
Новое значение:
• "AUOptions"=dword:00000001
"AUState"=dword:00000007
Messenger
Распространяется с помощью программы Messenger. Основные характеристики:
– AIM Messenger
– ICQ Messenger
– MSN Messenger
– Yahoo Messenger
Сетевое инфицирование
Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.
Копия объекта помещается в следующие сетевые ресурсы общего доступа:
• IPC$
• C$
• D$
• d$\windows\system32
• C$\windows\system32
• c$\winnt\system32
• ADMIN$\system32\
• ADMIN$
Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:
–Закэшированные имена пользователей и пароли.
– Список имен пользователей и паролей:
• wmd; winxp; winpass; winnt; windoze; windowsME; windows98; windows2k;
windows; win98; win2k; win2000; whore; whisky; whiskey; wh0re; west;
web; washington; userpassword; user2; user123; user12; user1; unix;
turnip; texas; test2; test12; test1; tennessee; temp2; temp123;
temp12; temp1; technical; system; switch; susan; sue; student1;
sqlpass; spencer; souris; slut; siemens; share; server2; server123;
server12; server1; satan2; satan123; satan12; satan1; sam; sage;
rooted; ron; reseau; r00t; qwerty2; qwerty123; qwerty12; qwerty1; qwe;
quidditch; qaz; pwned; private2; private123; private12; private1;
potter; poiut; pink; peter; password2; password12; password1; pass2;
pass1234; pass123; pass12; pass1; owned; own; owa; outlook;
ordinateur; orange; orainstall; opteron; oil; office; oemuser;
oeminstall; oem; oainstall; null; nopass; noob; nokia; newfy; newfie;
neil; money; mouse; moonshine; mince; mike; merde; mass; mary;
manager2; manager123; manager12; manager1; main; mail; madre; luke;
lol; loginpass; linux; lee; lan; katie; kate; john; joe; joan; jesus2;
jesus123; jesus12; jesus1; jen; jackdaniels; iraq; intranet; internet;
imprimeur; idiot; ibm; ian; homeuser; hogwarts; hermione; hermine;
hello; hell; heaven; headoffice; hax; harry; hagrid; gryffindor; god2;
god123; god12; god1; glen; george; gay; gast; fucked; fuck; freddy;
fred; freak; frank; fool; fish; feds; fanny; exchnge; exchange; eric;
ecran; dumbledore; dude; drugs; dope; domainpassword; domainpass;
domain; devil; demo; dementor; dell; dbpassword; dbpass; db1234; db1;
databasepassword; databasepass; data; rom; ctx; crash; copine; copin;
control; compaq; cisco; chris; cederom; cauldron; carte; capitol;
buckbeak; bruce; brian; bong; bob; blank; bitch; bill; biere; beer;
barbara; backdoor; azkaban; azerty; athlon; askaban; asd; amie; ami;
afro; administrator2; administrator123; administrator12;
administrator1; admin2; admin12; admin1; adm; accounts; accounting;
access; WindowsXP; West; Washington; Verwalter; UNIX; Texas;
Tennessee; TEST; TEMP; Server; SYSTEM; SERVER; Root; ROOT; PHP;
PASSWD; Ospite; LOCAL; GUEST; GAST; Coordinatore; CNN; Box; BOX;
BACKUP; Administrator; Administrateur; Administrador; ASP;
ADMINISTRATOR; ADMINISTRATEUR; ADMINISTRADOR; ADMIN; ACCESS; 666;
2525; 2001; 2000; 1999; 1998; 1997; 1996; 1778; 1776; 123467890;
12346789; 1234678; 123467; 12346; 1234567890; 121; bl00py; none;
noweakpass; zxcvbnm; zxcv; yxcv; xyz; xxyyzz; xxx; work; win; werty;
vagina; user; test123; security; test; temp; sybase; supersecret;
superman; super; sql; sex; server; secrets; secret; school; satan;
renegade; red123; qwertyuiop; qwerty; qwer; pwd; pussy; public;
private; porn; poiuytrewq; penis; patrick; pat; password123; passwd;
pass; mypc; mypass; mybox; mybaby; metal; manager; love; login;
letmein; leet; kids; jesus; ihavenopass; homework; home; godblessyou;
god; foobar; enable; changeme; box; baby; asdfghjkl; asdfgh; asdf;
alpha; admin123; abcd; abc123; abc; aaa; User; Unknown; Test;
Standard; Password; Owner; OEM; Login; Inviter; Internet; Guest; Gast;
Dell; Default; CHT; CHECK; Admin; 88888888; 888888; 654321; 54321;
5201314; 2600; 2004; 2003; 2002; 123qwe; 123asd; 123abc; 1234qwer;
123456789; 12345678; 1234567; 123456; 1234; 123123; 121212; 11111111;
111111; 111; 110; 007; 00000000; 000000; 12345; 11111; 123; password;
backup; db2; oracle; dba; database; default; guest; wwwadmin; teacher;
student; owner; computer; root; staff; admin; admins; administrat;
administrateur; administrador; administrator
Эксплойт:
Используются следующие бреши в безопасности:
–
MS03-026
(Переполнение буфера RPC Interface)
–
MS03-039
(Переполнение буфера RPCSS Service)
–
MS03-049
(Переполнение буфера Workstation Service)
–
MS04-007
(Уязвимость ASN.1)
–
MS04-011
(Уязвимость LSASS)
–
MS05-039
(уязвимость в Plug and Play)
Генарация IP адресов:
Создаются случайные IP адреса. Первые два блока созданного IP адреса совпадают с реальным собственным. Осуществляется попытка установить соединение с этим адресом.
Процесс инфицирования:
На выбранном компьютере создается FTP скрипт. Он загружает потенциально опасные программы на удаленный компьютер.
Снижение скорости:
– Есть вероятность незначительного уменьшения скорости. Причиной может явиться большое число запущенных процессов.
Удаленная активация:
–Осуществляется попытка запуска вредоносной программы на вновь зараженном компьютере. Это реализируется с помощью функции NetScheduleJobAdd.
IRC
Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:
Сервер: infer.battoun2ouja3.**********
Порт: 6667
Пароль сервера: terror
Канал: #scorpion
Имя: [P00|USA|
%случайная буквенная комбинация%
]
Пароль: r00ted
– Данная вредоносная программа способна собирать и передавать следующую информацию:
• Текущий пользователь
• Информация об операционной системе Windows
– Вредоносная программа обладает способностью выполнять следующие действия:
• установить соедиениение с IRC сервером
• Начать DDoS SYN атаку
• Отключить сетевые папки общего доступа
• разорвать соединение с IRC сервером
• Загрузить файл
• Редактировать реестр
• Подключить сетевые папки общего доступа
• Запустить файл
• Войти в чат-комнату IRC
• Остановить процесс
• Покинуть чат-комнату IRC
• Произвести DDoS атаку
• Проверка сети
• Регистрация службы
• Отправить электронную почту
• Запуск процедуры распространения
• Остановить процесс
• Обновляется самостоятельно
• Посещение веб-страницы
Разное
Мьютекс:
Создается мьютекс:
• TI
%случайная буквенная комбинация%
Данные файла
Язык программирования:
Программа была написана на MS Visual C++.
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• PE Pack
Краткое описание см.
здесь
.
Описание добавлено: Monica Ghitun Thu, 02 Nov 2006 10:33 (GMT+1)
Описание обновлено: Monica Ghitun Tue, 21 Nov 2006 17:23 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Mytob.AD
Worm/Mytob.AT
Worm/Bagle.FJ
TR/Drop.MuJoin.AF
PHISH/CrediCard
TR/Autorun.afj
BDS/Agent.qfh.1
TR/Dldr.FraudLoa.NC
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Sdbot.49134
Print this page
.gif)
