Full description

Nume:	Worm/IrcBot.164961
Descoperit pe data de:	17/02/2010
Tip:	Vierme
ITW:	Da
Numar infectii raportate:	Scazut spre mediu
Potential de raspandire:	Mediu
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	164.961 Bytes
MD5:	46e08081b696370727025779742237fd
Versiune IVDF:	7.10.04.80 - Wednesday, February 17, 2010

General Metode de raspandire:
   • Functia autorun
   • Reteaua locala

Alias:
   • Bitdefender: Backdoor.SDBot.DGFO
   • Eset: Win32/AutoRun.Agent.RF

Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Creeaza fisiere malware
   • Modificari in registri

Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\sysdiag64.exe
   • %unitate disc%\autorun.exe

Sunt create fisierele:

– %unitate disc%\auTORUN.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %SYSDIR%\DROPPEDFILEOK.tmp

Incearca se execute urmatorul fisier:

– Numele fisierului:
   • "%WINDIR%\sysdiag64.exe"

Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "sysdiag64.exe"="%WINDIR%\sysdiag64.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "MicrosoftNAPC"="%WINDIR%\sysdiag64.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "MicrosoftCorp"="%WINDIR%\sysdiag64.exe"

– [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW]
   • DWFileTreeRoot

Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnerability in Server Service)

Generarea adreselor IP:
Creeaza adrese IP aleatoare, pastrand doar primii doi octeti din propria adresa. Apoi incearca sa contacteze adresele create.

IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: vte**********.info
Port: 51987
Canal: #pwn
Nick: TsGh{USA-XP}%numar%

Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

Numele procesului:
• %aleator%

Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Tuesday, August 10, 2010
Description updated by Petre Galan on Thursday, August 12, 2010

Back . . . .

Featured PC protection

Free products

Most popular

All products

Bundled Solutions

Workstation

Server

Bundled Solutions

Mail Gateways

Web Gateways

Collaboration Platforms

Home Products

Business Products

Virus Lab

More Support

Become an Avira Partner

Home Products

Business Products

Just want to evaluate a product?

Manuals and Tools