Backdoor.Win32. SdBot.at

Троянская программа, позволяющая злоумышленнику удаленно выполнять операции на компьютере пользователя, выполняя управление по протоколу IRC.

Троянская программа, позволяющая злоумышленнику удаленно выполнять операции на компьютере пользователя, выполняя управление по протоколу IRC.

Программа является динамической библиотекой Windows (PE DLL-файл). Написана на Visual C++. Размер файла — 43520 байт, ничем не упакован.

Бэкдор инсталлируется в систему при помощи другой вредоносной программы.

Деструктивная активность

Бэкдор пытается запустить следующие файлы:

%system%\nstask32.exe
%system%\tftp.exe

Предполагается, что они уже были загружены из сети при помощи другой вредоносной программы.

Бэкдор создает следующие ключи в системном реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"NDplDeamon"="nstask32.exe"

И изменяет следующее значение:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"shell"="explorer.exe nstask32.exe"

Бэкдор открывает произвольный порт зараженного компьютера, после чего соединяется с удаленным IRC-сервером. После чего подсоединяется к специальному IRC-каналу, по которому получает команды от злоумышленника. По команде бэкдор может выполнять следующие действия:

* сканировать сеть в поисках машин, подверженных некоторым популярным уязвимостям;

* копировать и запускать себя на уязвимых машинах;

* запускать HTTP- и TFTP-сервера;

* создавать и менять значения ключей в реестре;

* загружать, выгружать и запускать файлы;

* открывать командную оболочку (cmd);

* считывать системную информацию;

* сканировать клавиатурные нажатия;

* совершать DoS-атаки;

* сканировать IP адреса и порты;

* перехватывать пакеты ICMP, FTP, IRC;

* создавать SYN- и ICMP-флуд;

* открывать TCP- и UDP-порты;

* посылать TCP- и UDP-пакеты.

Другие названия

Backdoor.Win32.SdBot.at («Лаборатория Касперского») также известен как: Backdoor.SdBot.at («Лаборатория Касперского»), W32/Spybot.worm.dll (McAfee), W32.Randex.E (Symantec), Win32.HLLW.LoveSan.based (Doctor Web), W32/RpcSdbot-A (Sophos), Win32/HLLW.SpyBot (RAV), WORM_RANDEX.R (Trend Micro), Worm/Sdbot.39936.B (H+BEDV), Win32:RPCexploit (ALWIL), IRC/BackDoor.SdBot.MJ (Grisoft), Backdoor.SDBot.40B56FB5 (SOFTWIN), Exploit.DCOM.Gen (ClamAV), Bck/SdBot (Panda), Win32/IRC.SdBot.AV (Eset)