Vollständige Virenbeschreibung

Name:	Worm/IRCBot.52736.4
Entdeckt am:	01/07/2007
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	52.736 Bytes
MD5 Prüfsumme:	ee3ed79ffb63344b6e50458b68a7814a
VDF Version:	6.39.00.78

General Verbreitungsmethode:
   • Messenger

Aliases:
   • Kaspersky: Backdoor.Win32.IRCBot.acd
   • F-Secure: Backdoor.Win32.IRCBot.acd
   • Sophos: W32/IRCBot-WV
   • Panda: W32/IrcBot.AYK.worm
   • Eset: Win32/IRCBot.XW trojan

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• %WINDIR%\myalbum2007.zip

Es wird folgende Datei erstellt:

– Nicht virulente Datei:
• %HOME%\new.txt

– %SYSDIR%\sysprinters.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/IRCBot.24040

Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\CLSID\{2E578F88-6425-4398-AB42-FF58EAA2566D}\InProcServer32]
   • @="sysprinters.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "system32"="{2E578F88-6425-4398-AB42-FF58EAA2566D}"

Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– Windows Live Messenger

An:
Alle Einträge aus der Kontaktliste.

Nachricht
Die verschickte Nachricht sieht wie folgt aus:

   • Here are my very secret pictures for you.
     Here are my pictures from my vacation
     hmm is this you on the photo ?
     Check out my pics from my workplace.
     Nice new photos of me and my friends and stuff...
     ahh look this is my greatest picture made on vacation 2007, take a look
     Check out my nice photo album. :D
     hey regarde les tof de notre bande de fous. :p
     hey c'est toi dans ces tof!!???
     hey regarde les tof, c'est moi et mes copains entrain de.... :D
     j'ai fais pour toi cet album de photos tu dois le voire :p
     stp regarde cet album de photos je lai fais specialement pour toi et mes amis...
     mes photos chaudes :D
     t'as pas encore vu ces tof???
     hey kijk eens naar mijn nieuwe foto album
     hey bekijk eens mijn nieuwe foto album
     hmm ben jij dit op de foto ?
     hey kijk ! dit is een lijst van mijn nieuwste fotos !!
     ahh kijk mijn mooiste foto album van vakantie 2007 bekijk ze eens :p
     kijk dit zijn fotos van mij werkplek! :)
     meine hei
     en Fotos ! :p
     le mie foto calde :p
     mis fotos calientes
     mi fotografias :p
     Mi amigo tom
     las fotos agradables de m :p
     mis fotos calientes
     el lol mi hermana quisiera que le enviara este

Verbreitung via Datei
Es wird eine Datei mit folgendem Namen geschickt:
   • %WINDIR%\myalbum2007.zip

Die empfangene Nachricht könnte wie folgt aussehen:

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: www.free4**********.net
Port: 80
Channel: #.mafia
Nickname: new[USA][0H]%zufällige Buchstabenkombination%

Injektion – Es injiziert folgende Datei in einen Prozess: %SYSDIR%\sysprinters.dll

– Es injiziert eine Backdoor-Routine in einen Prozess.

Prozessname:
• EXPLORER.EXE

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Die Beschreibung wurde erstellt von Alexandru Dinu am Dienstag, 10. Juli 2007
Die Beschreibung wurde geändert von Alexandru Dinu am Dienstag, 10. Juli 2007

zurück . . . .