Worm.Padobot.Win32

Worm.Padobot.Win32 – сетевой червь, распространяющийся через уязвимость Windows.

Методы распространения  

Для распространения по сети используется  критическая уязвимость (MS04-011) - переполнение буфера в службе Active Directory из сервиса Local Security Authority Subsystem Service (LSASS). Для заражения - червь отсылает на 445 порт атакуемого компьютера специальным образом сформированный пакет, который вызывает переполнение буфера и позволяет коду червя выполнится на удалённой машине.

Функциональные возможности 

Червь запрещает отображение скрытых файлов, пытается завершить процессы и службы,  которые относятся к антивирусным программам и Firewall,  запрещает доступ к сайтам антивирусных компаний.

Для автоматического запуска при каждом старте системы,  добавляет ссылку на свой  файл в ключ автозапуска системного реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 

Для проверки своего присутствия в системе, червь создает уникальный mutex. Это используется червём,  для того, чтобы предотвратить запуск нескольких своих копий на одном компьютере

Деструктивные возможности

Перехватывает логины и пароли используемые для авторизации на Internet сайтах. Собранная информация отсылается злоумышленнику.