Nume:Worm/IRCBo.147456.3
Descoperit pe data de:14/04/2009
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:147.456 Bytes
MD5:125d08036cac94a0965dadb1bd24a19d
Versiune IVDF:7.01.03.50 - Dienstag, 14. April 2009

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Mcafee: W32/IRCbot.gen.a
   •  Sophos: Troj/VBInj-Gen
   •  Panda: Bck/Poison.F
   •  Eset: Win32/IRCBot.AGP
   •  Bitdefender: Trojan.Inject.VB.M


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\fxstaller.exe



Sterge copia initiala a virusului.

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows UDP Control Center"="fxstaller.exe"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– AIM Messenger
– MSN Messenger

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: wear.th3**********.net
Port: 4244
Parola serverului: letmein
Canal: #!tt!#
Nick: [00|USA|%numar%]
Parola: mama



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Timpul de cand malware-ul a fost lansat in executie
    • Activitatea utilizatorilor locali


– In plus, poate efectua urmatoarele operatii:
    • descarcare fisier
    • executarea unui fisier
    • Se actualizeaza singur

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Petre Galan am Mittwoch, 25. November 2009
Die Beschreibung wurde geändert von Petre Galan am Mittwoch, 25. November 2009

zurück . . . .