Nume:Worm/IrcBot.39424.10
Descoperit pe data de:16/08/2007
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:50.937 Bytes
MD5:2863ba796aae0F51f400cbcba8d1cd4b
Versiune VDF:6.39.01.10 - Donnerstag, 16. August 2007
Versiune IVDF:6.39.01.10 - Donnerstag, 16. August 2007

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.acp
   •  Sophos: W32/IRCBot-XK
   •  Bitdefender: Backdoor.Rbot.XBN


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\NSecurity.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Network Security"="%SYSDIR%\NSecurity.exe"



Urmatoarele chei din registri sunt modificate:

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Noua valoare:
   • "restrictanonymous"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Ole]
   Noua valoare:
   • "EnableDCOM"="N"

 Reţea Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS06-040 (Vulnerability in Server Service)

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: **********.bihsecurity.com
Port: 2345
Parola serverului: lamshajze123
Canal: #!lam!
Nick: NT51|%sir de 8 caractere aleatoare%
Parola: lamfuck



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre procesele sistemului


– In plus, poate efectua urmatoarele operatii:
    • descarcare fisier
    • executarea unui fisier
    • intrare pe canal IRC
    • terminare proces
    • parasire canal IRC
    • Porneste rutina de raspandire

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • rxDecCode.Rizzo_1

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Ernest Szocs am Donnerstag, 8. November 2007
Die Beschreibung wurde geändert von Ernest Szocs am Donnerstag, 8. November 2007

zurück . . . .