Nume:Worm/IrcBot.96396
Descoperit pe data de:25/04/2010
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:96.396 Bytes
MD5:b18f1b7f0e96ac34f00fee7740915e49
Versiune IVDF:7.10.06.198 - Sonntag, 25. April 2010

 General Metoda de raspandire:
   • Messenger


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.otf
   •  TrendMicro: BKDR_IRCBOT.BXR
   •  F-Secure: Backdoor.Win32.IRCBot.otf
   •  Bitdefender: Trojan.Generic.KD.8729
   •  Grisoft: Dropper.Generic2.DBY
   •  Eset: IRC/SdBot
   •  DrWeb: BackDoor.IRC.Sdbot.12237


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Reduce setarile de securitate
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\infocard.exe
   • %WINDIR%\infocard.exi



Sterge copia initiala a virusului.



Sunt create fisierele:

– %WINDIR%\mdsys.s
– %WINDIR%\mdusys.s
– %WINDIR%\winbrd.jpg



Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • net stop MsMpSvc


– Numele fisierului:
   • net1 stop MsMpSvc


– Numele fisierului:
   • net stop wuauserv


– Numele fisierului:
   • net1 stop wuauserv


– Numele fisierului:
   • sc config wuauserv start= disabled


– Numele fisierului:
   • netsh firewall add allowedprogram 1.exe 1 ENABLE


– Numele fisierului:
   • "%WINDIR%\infocard.exe"


– Numele fisierului:
   • explorer.exe http://browseusers.myspace.com/Browse/Browse.aspx

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%fisier executat%"="%WINDIR%\infocard.exe:*:Enabled:Firewall
      Administrating"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Yahoo Messenger

URL-ul trimte la o copie a malware-ului descris. Daca utilizatorul descarca si executa acest fisier, procesul de infectare porneste din nou.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: dbs**********.com
Port: 2345
Nick: [USA|00|P|%numar%]

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Serban Ghiuta am Donnerstag, 12. August 2010
Die Beschreibung wurde geändert von Serban Ghiuta am Donnerstag, 12. August 2010

zurück . . . .