Nume:Worm/IRCBo.111104.5
Descoperit pe data de:07/07/2010
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:111.104 Bytes
MD5:f3782ede5dbbd61cbcd5546040af92c1
Versiune IVDF:7.10.09.33 - Mittwoch, 7. Juli 2010

 General Metoda de raspandire:
   • Messenger


Alias:
   •  Bitdefender: Backdoor.Bot.123108
   •  Eset: IRC/SdBot


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Reduce setarile de securitate
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\infocard.exe
   • %WINDIR%\infocard.exb



Sterge copia initiala a virusului.




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://www.cpalead.com/**********


– Adresa este urmatoarea:
   • http://www.cpalead.com/**********


– Adresa este urmatoarea:
   • http://update.articlesdealing.com/**********




Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • net stop MsMpSvc


– Numele fisierului:
   • net1 stop MsMpSvc


– Numele fisierului:
   • netsh firewall add allowedprogram 1.exe 1 ENABLE


– Numele fisierului:
   • "%WINDIR%\infocard.exe"


– Numele fisierului:
   • explorer.exe http://browseusers.myspace.com/Browse/Browse.aspx


– Numele fisierului:
   • %WINDIR%\infocard.exe


– Numele fisierului:
   • net stop wuauserv


– Numele fisierului:
   • net1 stop wuauserv


– Numele fisierului:
   • sc config wuauserv start= disabled

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%fisier executat%"="%WINDIR%\infocard.exe:*:Enabled:Firewall
      Administrating"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Yahoo Messenger

URL-ul trimte la o copie a malware-ului descris. Daca utilizatorul descarca si executa acest fisier, procesul de infectare porneste din nou.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: url.dig**********.com
Port: 1234
Canal: #jakarta
Nick: NEW-[USA|00|P|%numar%]

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Petre Galan am Mittwoch, 11. August 2010
Die Beschreibung wurde geändert von Petre Galan am Mittwoch, 11. August 2010

zurück . . . .