Nume:TR/IRC.Ryknos.A
Descoperit pe data de:10/11/2005
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:10.240 Bytes
MD5:ebe94809b68675feddfe2a2fa889f243
Versiune VDF:6.32.00.168

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire
   •  Mcafee: W32/Brepibot
   •  Kaspersky: Backdoor.Win32.Breplibot.b
   •  Sophos: Troj/Stinx-E


Sistem de operare:
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efecte secundare:
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\$sys$drv.exe



Sterge copia initiala a virusului.

 Registrii sistemului Se adauga in registrii sistemului:

– [HKCU\WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj]
   • "$sys$drv"="$sys$drv.exe"

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: 24.**********.45
Port: 8080
Canal: #sony
Nick: [%cateva cifre aleatoare%-%sistem de operare%]%combinatie de caractere aleatoare%

Server: 35.**********.93
Port: 8080
Canal: #sony
Nick: [%cateva cifre aleatoare%-%sistem de operare%]%combinatie de caractere aleatoare%

Server: 67.**********.190
Port: 8080
Canal: #sony
Nick: [%cateva cifre aleatoare%-%sistem de operare%]%combinatie de caractere aleatoare%

Server: 68.**********.76
Port: 8080
Canal: #sony
Nick: [%cateva cifre aleatoare%-%sistem de operare%]%combinatie de caractere aleatoare%

Server: 152.**********.186
Port: 8080
Canal: #sony
Nick: [%cateva cifre aleatoare%-%sistem de operare%]%combinatie de caractere aleatoare%


– In plus, poate efectua urmatoarea operatie:
    • descarcare fisier

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • $sys$drv.exe

 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Ascunde urmatoarele:
– Propriul fisier


Metoda folosita:
    • Foloseste rootkit, care se activeaza la instalarea de software de pe CD Sony Audio

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andrei Ivanes on Thursday, November 10, 2005
Description updated by Andrei Ivanes on Monday, November 14, 2005

Back . . . .