Name:Worm/IRCBot.38400
Entdeckt am:01/03/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:38.400 Bytes
MD5 Prüfsumme:95965ebb920D87dac65880ac9af846c2
VDF Version:6.33.01.41
IVDF Version:6.33.01.42 - Mittwoch, 1. März 2006

 General Verbreitungsmethode:
   • Lokales Netzwerk


Aliases:
   •  Kaspersky: Backdoor.Win32.IRCBot.pd
   •  TrendMicro: WORM_TIRBOT.G
   •  Sophos: Troj/IRCBot-PD
   •  Bitdefender: Backdoor.TirBot.F


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine Datei
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\MSDTCs.exe



Es wird folgende Datei erstellt:

– Nicht virulente Datei:
   • %WINDIR%\msi486.dll

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • IECheck="%SYSDIR%\MSDTCs.exe"

 Infektion über das Netzwerk Exploit:
Folgende Sicherheitslücke wird ausgenutzt:
– MS04-011 (LSASS Vulnerability)


IP Adressen Erzeugung:
Es werden zufällige IP Adressen generiert und es wird dann versuche eine Verbindung aufzubauen.

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: r3v3ng3.**********
Port: 6667
Channel: r1sUn10n

Server: r3v3ng3.**********
Port: 6667
Channel: r1sUn10n

Server: mast4.**********
Port: 6667
Channel: r1sUn10n

Server: squ4r3s.**********
Port: 6667
Channel: r1sUn10n



– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Prozessorgeschwindigkeit
    • Aktueller Benutzer
    • Details über Treiber
    • Freier Festplattenplatz
    • Freier Hauptspeicher
    • Arbeitszeit der Malware
    • Informationen über laufende Prozesse
    • Größe des Speichers
    • Benutzername
    • Windowsverzeichnis
    • Information über das Windows Betriebsystem


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • DDoS UDP Angriff starten
    • Datei herunterladen
    • Registry editieren
    • Datei ausführen
    • Prozess abbrechen
    • DDoS Attacke durchführen
    • Starte Verbreitunsroutine
    • Malware beenden
    • Prozess beenden
    • Aktualisiert sich selbst
    • Datei Hinaufladen

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • 1nUr4ssH0l3

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Ernest Szocs am Mittwoch, 3. Oktober 2007
Die Beschreibung wurde geändert von Ernest Szocs am Donnerstag, 4. Oktober 2007

zurück . . . .