Nume:Worm/Dorkbot.A.387
Descoperit pe data de:20/07/2011
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:179.712 Bytes
MD5:53422FC023412D12C429B6289F5075BC
Versiune VDF:7.11.12.21 - Wednesday, July 20, 2011
Versiune IVDF:7.11.12.21 - Wednesday, July 20, 2011

 General Metoda de raspandire:
   • Functia autorun
   • Email
   • Messenger


Alias:
   •  Kaspersky: Trojan.Win32.Jorik.IRCbot.aha
   •  TrendMicro: TROJ_SPNR.02GB11
   •  Sophos: Mal/VBCheMan-A


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efecte secundare:
   • Posibilitatea accesului neautorizat la computer
   • Blocheaza accesul la website-uri ale firmelor de securitate
   • Creeaza fisiere
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %APPDATA%\%combinatie de caractere aleatoare%.exe



Sterge copia initiala a virusului.

 Registrii sistemului Se adauga una din valorile urmatoare pentru fiecare cheie din registri, pentru a porni procesul dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%combinatie de caractere aleatoare%"="%APPDATA%\%combinatie de caractere aleatoare%.exe"

–  [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%combinatie de caractere aleatoare%"="%APPDATA%\%combinatie de caractere aleatoare%.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%combinatie de caractere aleatoare%"="%APPDATA%\%combinatie de caractere aleatoare%.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "Shell"="explorer.exe,%APPDATA%\%combinatie de caractere aleatoare%.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "Shell"="explorer.exe,%APPDATA%\%combinatie de caractere aleatoare%.exe"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Windows Live Messenger
– Yahoo Messenger

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: **********.photomarket.me
Port: 1234
Canal: #ngr
Nick: %combinatie de caractere aleatoare%



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Utilizatorul curent
    • Utilizator
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS UDP
    • deconectare server IRC
    • descarcare fisier
    • intrare pe canal IRC
    • parasire canal IRC
    • executare atac DDoS
    • repornirea sistemului
    • Porneste rutina de raspandire

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare

– Este pornita o rutina de logare dupa ce viziteaza un site care contine unul din urmatoarele siruri de caractere in URL:
   • .moneybookers.; 1and1.com; 4shared.com; alertpay.com; aol.;
      bcointernacional; bigstring.; depositfiles.; dotster.com; dyndns;
      enom.com; facebook.; fastmail.; fileserv.com; filesonic.com;
      freakshare.com; gmx.; godaddy.com; google.; hackforums.; hotfile.com;
      letitbit.net; login.live.; login.yahoo.; mediafire.com; megaupload.;
      members*.iknowthatgirl; members.brazzers.com; moniker.com;
      namecheap.com; netflix.com; netload.in; no-ip; officebanking.cl;
      oron.com; paypal.; runescape; screenname.aol.; secure.logmein.;
      sendspace.com; signin.ebay; sms4file.com; speedyshare.com;
      steampowered; thepiratebay.org; torrentleech.org; twitter.com;
      uploaded.to; uploading.com; vip-file.com; webnames.ru; what.cd; whcms;
      youporn.

– Face captura la:
    • Informatii de logare

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote in procese.

    Urmatoarele procese:
   • alg.exe; chrome.exe; csrss.exe; explorer.exe; firefox.exe; flock.exe;
      ieuser.exe; iexplore.exe; msmsgs.exe; msnmsgr.exe; opera.exe;
      pidgin.exe; services.exe; smss.exe; spoolsv.exe; svchost.exe;
      winlogon.exe; wlcomm.exe; wuauclt.exe; %proces aleator%



Scop:
Accesul la urmatoarele website-uri este efectiv blocat:
   • *avast.*; *avira.*; *bitdefender.*; *bullguard.*; *clamav.*;
      *comodo.*; *emsisoft.*; *eset.*; *f-secure.*; *fortinet.*;
      *garyshood.*; *gdatasoftware.*; *heck.tc*; *iseclab.*; *jotti.*;
      *kaspersky.*; *lavasoft.*; *malwarebytes.*; *mcafee.*; *norman.*;
      *norton.*; *novirusthanks.*; *onecare.live.*; *onlinemalwarescanner.*;
      *pandasecurity.*; *precisesecurity.*; *sophos.*; *sunbeltsoftware.*;
      *symantec*; *threatexpert.*; *trendmicro.*; *virscan.*; *virus.*;
      *virusbuster.nprotect.*; *viruschief.*; *virustotal.*; *webroot.*


 Alte informatii Acceseaza resurse de pe internet:
   • api.wipmania.com


Mutex:
Creeaza urmatorul mutex:
   • paraboner-Mutex

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andrei Ilie on Thursday, August 18, 2011
Description updated by Andrei Ilie on Thursday, August 18, 2011

Back . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. All rights reserved.

My Account

https:// This window is encrypted for your security.