Nume:Worm/IRCBot.10790
Descoperit pe data de:09/05/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:10.790 Bytes
MD5:e3614ba296c9b4a5cd4537c90f072865
Versiune VDF:6.31.01.212

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: Backdoor.Win32.IRCBot.fx
   •  Kaspersky: BKDR_IRCBOT.BZ
   •  TrendMicro: W32/Sdbot.LXR
   •  Grisoft: Trojan.DR.IRCBot.DZ1
   •  Eset: Backdoor.IRCBot.FX


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\csrss.exe

– %WINDIR%\kmc.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/IRCBot.8402

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCR\CLSID\%CLSID generate%\InProcServer32]
   • @="kmc.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "System"="%CLSID generate%

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: irc.foofle.net
Port: 6667
Canal: #sbots_main
Nick: %numele computerului%



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • Informatii despre sistemul de operare
    • descarcare fisier
    • intrare pe canal IRC
    • terminare proces
    • deschidere consola
    • Scaneaza reteaua
    • repornirea sistemului
    • terminare proces malware
    • terminare proces
    • Se actualizeaza singur
    • Face upload la un fisier
    • Vizitarea unui website

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Razvan Olteanu on Tuesday, November 15, 2005
Description updated by Andrei Ivanes on Wednesday, November 23, 2005

Back . . . .