Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:Worm/Dorkbot.A.387
Descoperit pe data de:20/07/2011
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:179.712 Bytes
MD5:53422FC023412D12C429B6289F5075BC
Versiune VDF:7.11.12.21 - miercuri, 20 iulie 2011
Versiune IVDF:7.11.12.21 - miercuri, 20 iulie 2011

 General Metoda de raspandire:
    Functia autorun
   • Email
    Messenger


Alias:
   •  Kaspersky: Trojan.Win32.Jorik.IRCbot.aha
   •  TrendMicro: TROJ_SPNR.02GB11
   •  Sophos: Mal/VBCheMan-A


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Blocheaza accesul la website-uri ale firmelor de securitate
   • Creeaza fisiere
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %APPDATA%\%combinatie de caractere aleatoare%.exe



Sterge copia initiala a virusului.

 Registrii sistemului Se adauga una din valorile urmatoare pentru fiecare cheie din registri, pentru a porni procesul dupa reboot:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%combinatie de caractere aleatoare%"="%APPDATA%\%combinatie de caractere aleatoare%.exe"

  [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%combinatie de caractere aleatoare%"="%APPDATA%\%combinatie de caractere aleatoare%.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%combinatie de caractere aleatoare%"="%APPDATA%\%combinatie de caractere aleatoare%.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "Shell"="explorer.exe,%APPDATA%\%combinatie de caractere aleatoare%.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "Shell"="explorer.exe,%APPDATA%\%combinatie de caractere aleatoare%.exe"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

Windows Live Messenger
 Yahoo Messenger

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: **********.photomarket.me
Port: 1234
Canal: #ngr
Nick: %combinatie de caractere aleatoare%



 Acest malware poate obtine si trimite infomatii cum ar fi:
    • Utilizatorul curent
    • Utilizator
    • Informatii despre sistemul de operare


 In plus, poate efectua urmatoarele operatii:
     conectare server IRC
     Lanseaza atacuri DDoS SYN
     Lanseaza atacuri DDoS UDP
     deconectare server IRC
    • descarcare fisier
    • intrare pe canal IRC
    • parasire canal IRC
    • executare atac DDoS
    • repornirea sistemului
     Porneste rutina de raspandire

 Furt de informatii Incearca sa obtina urmatoarele informatii:
 Parole tastate in campuri de logare

Este pornita o rutina de logare dupa ce viziteaza un site care contine unul din urmatoarele siruri de caractere in URL:
   • .moneybookers.; 1and1.com; 4shared.com; alertpay.com; aol.;
      bcointernacional; bigstring.; depositfiles.; dotster.com; dyndns;
      enom.com; facebook.; fastmail.; fileserv.com; filesonic.com;
      freakshare.com; gmx.; godaddy.com; google.; hackforums.; hotfile.com;
      letitbit.net; login.live.; login.yahoo.; mediafire.com; megaupload.;
      members*.iknowthatgirl; members.brazzers.com; moniker.com;
      namecheap.com; netflix.com; netload.in; no-ip; officebanking.cl;
      oron.com; paypal.; runescape; screenname.aol.; secure.logmein.;
      sendspace.com; signin.ebay; sms4file.com; speedyshare.com;
      steampowered; thepiratebay.org; torrentleech.org; twitter.com;
      uploaded.to; uploading.com; vip-file.com; webnames.ru; what.cd; whcms;
      youporn.

 Face captura la:
     Informatii de logare

 Injectarea codului malware in alte procese  Se injecteaza ca un thread remote in procese.

    Urmatoarele procese:
   • alg.exe; chrome.exe; csrss.exe; explorer.exe; firefox.exe; flock.exe;
      ieuser.exe; iexplore.exe; msmsgs.exe; msnmsgr.exe; opera.exe;
      pidgin.exe; services.exe; smss.exe; spoolsv.exe; svchost.exe;
      winlogon.exe; wlcomm.exe; wuauclt.exe; %proces aleator%



Scop:
Accesul la urmatoarele website-uri este efectiv blocat:
   • *avast.*; *avira.*; *bitdefender.*; *bullguard.*; *clamav.*;
      *comodo.*; *emsisoft.*; *eset.*; *f-secure.*; *fortinet.*;
      *garyshood.*; *gdatasoftware.*; *heck.tc*; *iseclab.*; *jotti.*;
      *kaspersky.*; *lavasoft.*; *malwarebytes.*; *mcafee.*; *norman.*;
      *norton.*; *novirusthanks.*; *onecare.live.*; *onlinemalwarescanner.*;
      *pandasecurity.*; *precisesecurity.*; *sophos.*; *sunbeltsoftware.*;
      *symantec*; *threatexpert.*; *trendmicro.*; *virscan.*; *virus.*;
      *virusbuster.nprotect.*; *viruschief.*; *virustotal.*; *webroot.*


 Alte informatii Acceseaza resurse de pe internet:
   • api.wipmania.com


Mutex:
Creeaza urmatorul mutex:
   • paraboner-Mutex

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andrei Ilie on Thursday, August 18, 2011
Description updated by Andrei Ilie on Thursday, August 18, 2011

Back . . . .