Backdoor.IRCBot (также широко известен как SDBot) - это семейство вредоносных программ удаленного администрирования типа backdoor (т.е. позволяющие без ведома пользователя удаленно управлять его компьютером). Администратирование осуществляется посредством соединения с IRC-сервером и получением через каналы IRC команд удаленного управления от злоумышленника. Распространяется преимущественно через уязвимости операционной системы (т.к. имеет возможность сканировать сеть в поисках других компьютеров, подверженных наиболее распространенным уязвимостям Windows) и по локальной сети, посредством копирования себя в сетевые ресурсы общего доступа.
Используются следующие уязвимости:
Помимо несанкционированного подключения вредоносная программа в зависимости от своей модификации обладает способностью:
На данный момент модификаций этого вируса существует уже порядка нескольких сотен. Поэтому перечисление всех возможных названий создаваемых файлов требует слишком огромных масштабов. Но преимущественно вирусом используются имена близко напоминающие системные файлы.
Примеры заражения из логов HijackThis:
O4 - HKLM\..\Run: [Compaq32 Service Drivers] msconfig32.exe
O4 - HKLM\..\Run: [Configuration Loader] syscfg32.exe
O4 - HKLM\..\Run: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\Run: [File System] taskmqr.exe
O4 - HKLM\..\Run: [msconfig38] mssvcc.exe
O4 - HKLM\..\Run: [Microsoft] iexplorer.exe
O4 - HKLM\..\Run: [Microsoft Windows Startup] explorer.exe
O4 - HKLM\..\Run: [Update Checker] winlog.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [IEUpdate] ieupdate.exe
O4 - HKLM\..\Run: [Windows Services] spoolsvc.exe
O4 - HKLM\..\Run: [wmplayer] C:\WINDOWS\lsrvc.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\system32\lssas.exe
O4 - HKLM\..\Run: [Microsoft Configoration Service] msconfigs.exe
O4 - HKLM\..\Run: [Microsoft Nvidia Video] nvidia.exe
O4 - HKLM\..\Run: [CRCSS] crcss.exe
O4 - HKLM\..\Run: [CRSSXP SysInfo] crssxp.exe
O4 - HKLM\..\Run: [DELXP Protocol] delxp.exe
O4 - HKLM\..\Run: [DRan posessor] DAP.exe
O4 - HKLM\..\Run: [Microsoft Windows DLL Services Configuration] dllmanager32.exe
O4 - HKCU\..\Run: [sysupdate] c:\windows\system32\cmman32.exe
O4 - HKLM\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\Run: [SoundMax Audio Drivers] SndMAX.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\Services.exe
Детектирование антивирусами:
Dr.WEB: | BackDoor.IRC.Sdbot |
Kaspersky: | Backdoor.IRC.SdBot; Backdoor.Win32.IRCBot; Backdoor.IRCBot; Backdoor.Win32.SdBot и др. |
Symantec: | Backdoor.Sdbot и др. |
Sophos: | W32/Sdbot; Troj/Sdbot |
McAfee: | W32/Sdbot.worm; IRC-Sdbot |
Microsoft: | Win32/IRCbot |
Также все желающие просмотреть полный список модификаций SDBot, которые распознаются и удаляются данной утилитой, могут сделать это, распаковав архив программы (файл SDFix_ReadMe.htm), либо открыв страничку создателя.
Эта база обновляется регулярно, по мере обнаружения новых видов вредоносных программ.
Непосредственно само лечение компьютера с помощью SDFix:
C:\SDFix
При появлении меню загрузки Windows нужно нажать клавишу F8 - на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем ENTER.
Образец лога SDFix:
| |
Некоторые пояснения к логу:
|
Автор: Saule
2007