Nume:Worm/IrcBot.111245.1
Descoperit pe data de:03/05/2010
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:111.245 Bytes
MD5:4221836aabd101e48a6a849b6f7f8c44
Versiune IVDF:7.10.07.18 - Montag, 3. Mai 2010

 General Metoda de raspandire:
   • Messenger


Alias:
   •  Panda: W32/OscarBot.YH.worm
   •  Eset: IRC/SdBot
   •  Bitdefender: Win32.Worm.Palevo.AJ


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\infocard.exe
   • %WINDIR%\infocard.exb



Sterge copia initiala a virusului.



Sunt create fisierele:

– %WINDIR%\mds.sys
– %WINDIR%\mdt.sys
– %WINDIR%\winbrd.jpg



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://get.articleslinked.com/**********


– Adresa este urmatoarea:
   • http://browseusers.myspace.com/Browse/**********




Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • net stop MsMpSvc


– Numele fisierului:
   • net1 stop MsMpSvc


– Numele fisierului:
   • net stop wuauserv


– Numele fisierului:
   • net1 stop wuauserv


– Numele fisierului:
   • sc config wuauserv start= disabled


– Numele fisierului:
   • netsh firewall add allowedprogram 1.exe 1 ENABLE


– Numele fisierului:
   • "%WINDIR%\infocard.exe"


– Numele fisierului:
   • explorer.exe http://browseusers.myspace.com/Browse/Browse.aspx

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%fisier executat%"="%WINDIR%\infocard.exe:*:Enabled:Firewall
      Administrating"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Yahoo Messenger

URL-ul trimte la o copie a malware-ului descris. Daca utilizatorul descarca si executa acest fisier, procesul de infectare porneste din nou.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: e2d**********.org
Port: 2345
Canal: #imb
Nick: NEW-[USA|00|P|%numar%]

Die Beschreibung wurde erstellt von Petre Galan am Mittwoch, 30. Juni 2010
Die Beschreibung wurde geändert von Petre Galan am Mittwoch, 30. Juni 2010

zurück . . . .