آشنایی با ویروس W32/Sdbot-TB (شماره 381)
از: www.IRVirus.Com
نام :: W32/Sdbot-TB
نوع :: کرم
سیستم عامل هدف :: ویندوز
راه پخش :: برنامه های گفتمان (چت)
کارها ::
1 – دسترسی هکر به منابع سیستم
2 – دانلود کردن کدهای خود از اینترنت
3 – ضبط صفحه کلید
4 – نصب خود بر روی ریجستری
5 – دزدین اطلاعات
6 – کم کردن قدرت امنیت سیستم
شرح ::
این کرم از راه کانال های IRC خود را انتقال می دهد . و حاوی کد بکدوری است که دسترسی کامل هکر را به سیستم میدهد . این کرم در اولین بار که اجرا می شود فایل wupdated.exe را بر روی شاخه سیستم ویندوز می سازد . و بر روی سیستم های NT خود را Wupdated معرفی می کند که شباهت زیادی به سرویس Windows Update Service دارد و همچنین شاخه های زیر را در ریجستری می سازد ::
HKLM\SYSTEM\CurrentControlSet\Services\Wupdated\Security
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WUPDATED
همچنین این کرم سعی می کند خود را از طریق اشتراکات شبکه جابجا کند . همچنین این کرم یک HTTP proxy server بر روی سیستم قربانی نصب می کند . و می تواند حملات DoS کند . و همچنین اطلاعات سیستم را می دزدد و همچنین انها را در فایلی به نام keys.txt در شاخه سیستم قرار می دهد و به هکر می رساند . همچنین این کرم سعی می کند خود را از طریق جابجایی فایل های DCC در کانال های IRC انتقال دهد . با متن پیغام زیر ::
The message text can be of any of the following:
dude, chk out this new AdminMOD exploit, it gives you admin
privs on any server running AM, plz dont give it out tho, thnx
i just caught this guy cheating with the Cheat Scanner in the
CAL Demo Viewer, chk it out
omfg this is so cool! i just caught this guy cheating with
this cal demoviewer or whatever its called, here"s a copy of it
Here is the new CAL Demo Viewer, it includes
همچنین فایل های آلوده عبارت از ::
AdminMOD-ExploitHack.exe
cheater-caught.pif
CAL-DemoViewer.exe
Setup.exe