نام :: W32/Sdbot-TB
نوع :: کرم
سيستم عامل هدف :: ويندوز
راه پخش :: برنامه هاي گفتمان (چت)

کارها ::

1 – دسترسي هکر به منابع سيستم
2 – دانلود کردن کدهاي خود از اينترنت
3 – ضبط صفحه کليد
4 – نصب خود بر روي ريجستري
5 – دزدين اطلاعات
6 – کم کردن قدرت امنيت سيستم

شرح ::

اين کرم از راه کانال هاي IRC خود را انتقال مي دهد . و حاوي کد بکدوري است که دسترسي کامل هکر را به سيستم ميدهد . اين کرم در اولين بار که اجرا مي شود فايل wupdated.exe را بر روي شاخه سيستم ويندوز مي سازد . و بر روي سيستم هاي NT خود را Wupdated معرفي مي کند که شباهت زيادي به سرويس Windows Update Service دارد و همچنين شاخه هاي زير را در ريجستري مي سازد ::

HKLM\SYSTEM\CurrentControlSet\Services\Wupdated\Security
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WUPDATED

همچنين اين کرم سعي مي کند خود را از طريق اشتراکات شبکه جابجا کند . همچنين اين کرم يک HTTP proxy server بر روي سيستم قرباني نصب مي کند . و مي تواند حملات DoS کند . و همچنين اطلاعات سيستم را مي دزدد و همچنين انها را در فايلي به نام keys.txt در شاخه سيستم قرار مي دهد و به هکر مي رساند . همچنين اين کرم سعي مي کند خود را از طريق جابجايي فايل هاي DCC در کانال هاي IRC انتقال دهد . با متن پيغام زير ::

The message text can be of any of the following :
dude, chk out this new AdminMOD exploit, it gives you admin
privs on any server running AM, plz dont give it out tho, thnx
i just caught this guy cheating with the Cheat Scanner in the
CAL Demo Viewer, chk it out
omfg this is so cool! i just caught this guy cheating with
this cal demoviewer or whatever its called, here's a copy of it
Here is the new CAL Demo Viewer, it includes

همچنين فايل هاي آلوده عبارت از ::

AdminMOD-ExploitHack.exe
cheater-caught.pif
CAL-DemoViewer.exe
Setup.exe

ادامه دارد ......
ارسال مقاله توسط عضو محترم سايت با نام کاربري : sm1372
/س