Worm.Padobot.Win32

Worm.Padobot.Win32 - мережевий хробак, поширюється через вразливість Windows.

Методи поширення 

Для розповсюдження по мережі використовується критична уразливість (MS04-011) - переповнення буферу в службі Active Directory з сервісу Local Security Authority Subsystem Service (LSASS). Для зараження - хробак відсилає на 445 порт комп'ютера що атакується, спеціальним чином сформований пакет, який викликає переповнювання буфера і дозволяє коду хробака виконатися на віддаленій машині.

Функціональні можливості 

Хробак забороняє відображення прихованих файлів, намагається завершити процеси та служби, які відносяться до антивірусних програм і Firewall, забороняє доступ до сайтів антивірусних компаній. 

Для автоматичного запуску при кожному старті системи, додає посилання на свій файл в ключ автозапуску системного реєстру:

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]

Для перевірки своєї присутності в системі, хробак створює унікальний mutex. Це використовується хробаком, для того, щоб запобігти запуску кількох своїх копій на одному комп'ютері

Деструктивні можливості 

Перехоплює логіни і паролі що використовуються для авторизації на Internet сайтах. Зібрана інформація надсилається зловмисникові.