Nume:Worm/IrcBot.dyt
Descoperit pe data de:07/07/2010
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:72.704 Bytes
MD5:fc5117b02af5c2471da0b91516edffda
Versiune IVDF:7.10.09.33 - Mittwoch, 7. Juli 2010

 General Metoda de raspandire:
   • Messenger


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.poz
   •  TrendMicro: WORM_PUSHBOT.HJ
   •  F-Secure: Backdoor.Win32.IRCBot.poz
   •  Bitdefender: Win32.Worm.Palevo.AV
   •  Eset: IRC/SdBot
   •  DrWeb: Win32.HLLW.Oscar.11


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Reduce setarile de securitate
   • Creeaza fisiere malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\jusched.exe
   • %WINDIR%\jusched.exi



Sterge copia initiala a virusului.



Este creat fisierul:

– C:\stas.exe Fisierul este executat dupa ce a fost creat.



Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://91.212.226.33/**********
In plus, acest fisier este executat dupa ce este descarcat de pe Internet.



Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • net stop MsMpSvc


– Numele fisierului:
   • net1 stop MsMpSvc


– Numele fisierului:
   • net stop wuauserv


– Numele fisierului:
   • net1 stop wuauserv


– Numele fisierului:
   • sc config wuauserv start= disabled


– Numele fisierului:
   • netsh firewall add allowedprogram 1.exe 1 ENABLE


– Numele fisierului:
   • "%WINDIR%\jusched.exe"


– Numele fisierului:
   • explorer.exe http://browseusers.myspace.com/Browse/Browse.aspx


– Numele fisierului:
   • "C:\stas.exe"

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Java developer Script Browse"="%WINDIR%\jusched.exe"



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%fisier executat%"="%WINDIR%\jusched.exe:*:Enabled:Java
      developer Script Browse"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Yahoo Messenger

URL-ul trimte la o copie a malware-ului descris. Daca utilizatorul descarca si executa acest fisier, procesul de infectare porneste din nou.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: 66.225.**********
Port: 2345
Nick: NEW-[USA|00|P|%numar%]

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Serban Ghiuta am Donnerstag, 12. August 2010
Die Beschreibung wurde geändert von Serban Ghiuta am Donnerstag, 12. August 2010

zurück . . . .