بدافزار W32/Sdbot.worm
بدافزار W32/Sdbot.worm یک ویروس با درجه اهمیت “کم” است.
ویروس ها قابلیت انتشار خودکار دارند. ویروس ها اغلب از طریق ارتباطات شبکه ای و یا از طریق ابزارهای ذخیره سازی قابل حمل (External Disk, USB ِDrive, CWritable CD) منتشر می شوند.
شناسایی
بدافزار W32/Sdbot.worm با نام های زیر توسط نرم افزارهای ضدویروس مختلف شناسایی می شود.
| Gen:Variant.Zusy.64956 |
EMSI Software |
| Win32:Rootkit-gen – Rtk | Avast |
| Backdoor.Bifrose.ep | AVG – GriSoft |
| TR/Patched.Ren.Gen | Avira |
| Net-Worm.Win32.Kolab.bpur | Kaspersky |
| Gen:Variant.Zusy.64956 | BitDefender |
| Trojan.Siggen.16964 | Dr.Web |
| W32/Themida_Packed!Eldorado | F-Prot |
| W32/Kolab.BPUR!worm.im | FortiNet |
| Backdoor:Win32/IRCbot.gen!S | Microsoft |
| a variant of Win32/Packed.Themida | Eset |
| Win32/Sality.A | Norman |
| Trj/Thed.A | Panda |
| TROJ_GEN.R0CBC0DGH14 | Trend Micro |
| Backdoor.IRCbot!/rEiMbUogJs |
V-Buster |
تغییرات
توجه داشته باشید که بدافزار Sdbot.worm دارای گونه های مختلفی است و احتمال دارد نام فایل ها و تغییرات در Registry که در اینجا توضیح داده می شود، در کونه های مختلف اندکی متفاوت باشد.
فایل زیر توسط بدافزار به سیستم آلوده اضافه می شود.
– %WINDIR%\system\wmisyn.exe
تغییرات زیر در Registry صورت می گیرد.
– HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\ CURRENTVERSION\SHELL EXTENSIONS\GON
– HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\CONTROL\ WAITTOKILLSERVICETIMEOUT = 7000
– HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\SERVICES\ EVENTLOG\APPLICATION\ESENT\CATEGORYCOUNT = 16
– HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\SERVICES\ EVENTLOG\APPLICATION\ESENT\CATEGORYMESSAGEFILE
= %WINDIR%\SYSTEM32\ESENT.dll
– HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\SERVICES\ EVENTLOG\APPLICATION\ESENT\EVENTMESSAGEFILE
= %WINDIR%\SYSTEM32\ESENT.dll
– HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\SERVICES\ EVENTLOG\APPLICATION\ESENT\TYPESSUPPORTED = 7
بدافزار سعی می کند تا با نشانی های زیر ارتباط برقرار کند.
IP 172.0.4.**:445
IP 172.0.4.*:445
IP 172.0.3.***:445
IP 172.0.3.**:445
IP 172.0.3.*:445
IP 172.0.2.***:445
IP 172.0.2.**:445
IP 172.0.2.*:445
IP 172.0.1.***:445
IP 172.0.1.**:445
IP 172.0.1.*:445
IP 172.0.0.***:445
IP 172.0.0.**:445
IP 172.0.0.*:445
IP 172.0.7.***:445
IP 172.0.7.**:445
IP 172.0.7.*:445
IP 172.0.6.***:445
IP 172.0.6.**:445
IP 172.0.6.*:445
IP 172.0.5.***:445
IP 172.0.5.**:445
IP 172.0.5.*:445
IP 172.0.4.***:445
پیشگیری
گونه های مختلف بدافزار W32/Sdbot.worm توسط ضدویروس های McAfee و Bitdefender شناسایی و پاکسازی می شوند.
رعایت نکات زیر می تواند خطر آلوده شدن به اين بدافزار و يا گونه های مشابه را به حداقل برساند.
– به روز نگه داشتن ضدويروس
– نصب آخرين اصلاحيه های سيستم عامل و مرورگر
– آموزش و آگاه کردن کاربران در خصوص خطر کليک بر روی لينک های ناآشنا
– پرهيز از بازکردن پیوست نامه های مشکوک
