Nume:Worm/IrcBot.51200
Descoperit pe data de:05/12/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:51.200 Bytes
MD5:d3f3dc33be2031c0dcb5d0e5909bb557
Versiune IVDF:6.32.01.08 - Montag, 5. Dezember 2005

 General Metoda de raspandire:
   • Functia autorun
   • Messenger


Alias:
   •  Panda: W32/IRCBot.CLD.worm
   •  Eset: Win32/AutoRun.Agent.LB
   •  Bitdefender: Backdoor.Bot.87376


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %HOME%\Application Data\ShieldManager.exe
   • %unitate disc%\.Autorun\835694854683549385398626893468946\Autorun.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

%unitate disc%\.Autorun\835694854683549385398626893468946\Desktop.ini
%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

 Registrii sistemului Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%fisier executat%"="%fisier
      executat%:*:Enabled:Microsoft Shield Manager"



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   Noua valoare:
   • "Microsoft Shield Manager"="%HOME%\Application Data\ShieldManager.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   Noua valoare:
   • "Microsoft Shield Manager"="%HOME%\Application Data\ShieldManager.exe"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– MSN Messenger
– Yahoo Messenger


Mesaj
Mesajul transmis este:

   • meinst du das ernst?
     ich hoffe es gef?llt dir
     das ist geil
     bist du das?
     du bist echt sexy
     haha das ist sooo lustig
     kennst du das?
     est
     s en serio??? :S:S
     no sab
     a que te metias cosas asi :S
     esto es horrible :S
     alguien dijo que eras tu
     eres tu de verdad?
     tu eres realmente sexi ;)
     jajaja esto es muy divertido
     encontr
      esto... te resulta familiar?
     check this one
     hehe!
     i find this one really funny :)
     is this really you???
     did you take this picture?
     who is this?
      voc
      s
     rio??? :S:S
     eu n
     o soube que voc
      apreciou o material como este:S
     isto
      horr
     vel:S
     algu
     m disse que este era voc
      isto realmente voc
     voc
      realmente sexy ;)
     o hahaha isto
      t
     o engra
     ado
     eu encontrei que isto olha familiar??
     t'es serieu la?
     je savais pas que t'aimait ce genre de truc
     c'est horrible ahah
     qqn m'a dit que c'
     tait toi
     c'est vraiment toi ou!?
     lol vraiment pas mal
     hehe detta
     r roligt
     kolla det h
     haha roligt :D
     hehe gjorde du detta?
     jag visste inte att du gillade s
     nt h
     r :S
     r detta du?
     bent u ernstig??? :S:S
     ik wist niet u van materiaal als dit genoot :S
     dit is afschuwelijk :S
     iemand zei dit u was
     dit is werkelijk u?
     u bent werkelijk sexy ;)
     hahaha dit is zo grappig
     ik vond dit het? vertrouwd kijkt?
     :D
     ;)
     :D ACCEPT!
     ;)(L)
     :P
     lol
     hm?
     pic?

URL-ul trimte la o copie a malware-ului descris. Daca utilizatorul descarca si executa acest fisier, procesul de infectare porneste din nou.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: irc.yo**********.co.uk
Port: 3328
Canal: #th3msn
Nick: [USA|00|XP||%numar%]

 Alte informatii Sir de caractere:
In plus, mai contine urmatoarele siruri de caractere:
   • %s Sent text to: %d contacts.
   • %s Sent file to %d contacts.
   • %s Sent text to %d contacts.
   • %s Sent file to %d contacts.

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 5. März 2010
Die Beschreibung wurde geändert von Petre Galan am Freitag, 5. März 2010

zurück . . . .