Name:TR/IRCBot.MX
Entdeckt am:20/01/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:196.608 Bytes
MD5 Prüfsumme:1a8676220F19f1b0052dc59fac6ad94f
VDF Version:6.33.00.144

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Backdoor.Win32.IRCBot.mx
   •  TrendMicro: BKDR_IRCBOT.DU
   •  Bitdefender: Backdoor.IRCBot.MX

Wurde zuvor wie folgt erkannt:
   •  Worm/IRCBot.MX


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Verfügt über eigene Email Engine
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\SysCfg.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SysCfg" = "%SYSDIR%\SysCfg.exe"



Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "kl" = dword:00000000
   • "keep1" = dword:00000000
   • "keepnick1" = "r"
   • "name1" = "Realname"
   • "user1" = "user"
   • "nick1" = "Nick%zweistellige zufällige Buchstabenkombination%"
   • "port1" = "6667"
   • "server1" = %IRC Server%

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: irc.lub**********
Port: 6667
Channel: #chimera
Nickname: Nick%zweistellige zufällige Buchstabenkombination%
Passwort: software

Server: open.pl.irc**********
Port: 6667
Channel: #chimera
Nickname: Nick%zweistellige zufällige Buchstabenkombination%
Passwort: software

Server: poznan.i**********
Port: 6667
Channel: #chimera
Nickname: Nick%zweistellige zufällige Buchstabenkombination%
Passwort: software

Server: warszawa**********
Port: 6667
Channel: #chimera
Nickname: Nick%zweistellige zufällige Buchstabenkombination%
Passwort: software


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • vom IRC Server abmelden
    • Datei herunterladen
    • Datei ausführen
    • IRC Chatraum betreten
    • IRC Chatraum verlassen
    • DDoS Attacke durchführen
    • Emails verschicken
    • Starte Tastaturüberwachung
    • Aktualisiert sich selbst

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Daniel Constantin am Mittwoch, 8. Februar 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Mittwoch, 15. Februar 2006

zurück . . . .