Nume:Worm/IrcBot.39424.10
Descoperit pe data de:16/08/2007
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:50.937 Bytes
MD5:2863ba796aae0F51f400cbcba8d1cd4b
Versiune VDF:6.39.01.10 - Thursday, August 16, 2007
Versiune IVDF:6.39.01.10 - Thursday, August 16, 2007

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.acp
   •  Sophos: W32/IRCBot-XK
   •  Bitdefender: Backdoor.Rbot.XBN


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\NSecurity.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Network Security"="%SYSDIR%\NSecurity.exe"



Urmatoarele chei din registri sunt modificate:

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Noua valoare:
   • "restrictanonymous"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Ole]
   Noua valoare:
   • "EnableDCOM"="N"

 Reţea Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS06-040 (Vulnerability in Server Service)

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: **********.bihsecurity.com
Port: 2345
Parola serverului: lamshajze123
Canal: #!lam!
Nick: NT51|%sir de 8 caractere aleatoare%
Parola: lamfuck



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre procesele sistemului


– In plus, poate efectua urmatoarele operatii:
    • descarcare fisier
    • executarea unui fisier
    • intrare pe canal IRC
    • terminare proces
    • parasire canal IRC
    • Porneste rutina de raspandire

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • rxDecCode.Rizzo_1

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Ernest Szocs on Thursday, November 8, 2007
Description updated by Ernest Szocs on Thursday, November 8, 2007

Back . . . .