Nume:Worm/IrcBot.229376.1
Descoperit pe data de:04/07/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:229.376 Bytes
MD5:2a560ce28707e8ddfc35ec539df1932d
Versiune IVDF:6.35.00.115 - Dienstag, 4. Juli 2006

 General Metoda de raspandire:
   • Messenger


Alias:
   •  Sophos: Mal/VBInject-T
   •  Bitdefender: Trojan.Generic.KD.12598
   •  Eset: Win32/Boberog.AQ


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Reduce setarile de securitate
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %HOME%\Application Data\msng.exe



Este creat fisierul:

– %SYSDIR%\winsvncs.txt



Incearca se execute urmatorul fisier:

– Numele fisierului:
   • "%HOME%\Application Data\msng.exe"

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows System Guard"="%HOME%\Application Data\msng.exe"



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%HOME%\Application Data\msng.exe"="%HOME%\Application
      Data\msng.exe:*:Enabled:Windows System Guard"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– AIM Messenger
– Yahoo Messenger


Mesaj
Mesajul transmis arata ca unul din urmatoarele:

   • olhar para esta foto :D
     se p
      dette bildet :D
     bekijk deze foto :D
     schau mal das foto an :D
     look at this picture :D
     mira esta fotograf
     a :D
     regardez cette photo :D
     guardare quest'immagine :D
     pod
     vejte se na mou fotku :D
     ser p
      dette billede :D
     zd meg a k
     pet :D
     spojrzec na to zdjecie :D
     bu resmi bakmak :D
     katso t
      kuvaa :D
     uita-te la aceasta fotografie :D
     pozrite sa na t
     to fotografiu :D
     titta p
      denna bild :D
     poglej to fotografijo :D
     pogledaj to slike :D
     seen this?? :D

URL-ul trimte la o copie a malware-ului descris. Daca utilizatorul descarca si executa acest fisier, procesul de infectare porneste din nou.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: u.mai**********.com
Port: 81
Canal: #newbin#
Nick: n[USA|XP]%numar%

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.

Die Beschreibung wurde erstellt von Petre Galan am Montag, 9. August 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 12. August 2010

zurück . . . .