Nume:Worm/IrcBot.50689
Descoperit pe data de:09/12/2008
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:753.664 Bytes
MD5:e5a140ae274a999bdf359ab2083912de
Versiune IVDF:7.01.00.208 - Dienstag, 9. Dezember 2008

 General Metode de raspandire:
   • Functia autorun
   • Messenger


Alias:
   •  Mcafee: W32/Sdbot.worm virus
   •  Bitdefender: Backdoor.IRCBot.ACZV
   •  Eset: Win32/AutoRun.IRCBot.GF


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %unitate disc%\RECYCLER\runme.exe
   • %WINDIR%\clsidsrv.exe



Este creat fisierul:

%unitate disc%\autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%




Incearca se execute urmatorul fisier:

– Numele fisierului:
   • "%WINDIR%\clsidsrv.exe"

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Clsid Service"="clsidsrv.exe"

–  [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW]
   • DWFileTreeRoot

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Windows Live Messenger

URL-ul trimte la o copie a malware-ului descris. Daca utilizatorul descarca si executa acest fisier, procesul de infectare porneste din nou.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: 203.200.**********.109
Port: 6667
Canal: #bot
Nick: [00|USA|%numar%]

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • Themida

Die Beschreibung wurde erstellt von Petre Galan am Mittwoch, 11. August 2010
Die Beschreibung wurde geändert von Petre Galan am Mittwoch, 11. August 2010

zurück . . . .