Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:BDS/IRCBot.DL.105
Descoperit pe data de:15/05/2011
Tip:Backdoor Server
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:197.280 Bytes
MD5:4A1376AE66413095000D5DD3544C4128
Versiune VDF:7.11.08.22 - duminică, 15 mai 2011
Versiune IVDF:7.11.08.22 - duminică, 15 mai 2011

 General Metoda de raspandire:
    Functia autorun


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.bwjw
   •  Sophos: Troj/Bckdr-RIR
     Microsoft: Backdoor:Win32/IRCbot.DL
     GData: Worm.Generic.317684
     DrWeb: Trojan.DownLoader2.39345


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %APPDATA%\Microsoft\%combinatie de caractere aleatoare%.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%combinatie de caractere aleatoare%.exe"="%APPDATA%\Microsoft\%combinatie de caractere aleatoare%.exe"

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: **********ney.no-ip.info
Port: 3074
Nick: %combinatie de caractere aleatoare%



 Acest malware poate obtine si trimite infomatii cum ar fi:
    • Utilizator
    • Informatii despre sistemul de operare


 In plus, poate efectua urmatoarele operatii:
     conectare server IRC
     deconectare server IRC
    • intrare pe canal IRC
    • parasire canal IRC

 Backdoor Deschide portul

svchost.exe pe portul UDP 1900 pentru a oferi functionalitate de backdoor.

 Furt de informatii  Parole stocate, folosite de functia AutoComplete

Parolele din urmatoarele programe:
   • Mozilla Firefox
   • Internet Explorer

 Injectarea codului malware in alte procese Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • svchost.exe


 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • HelloDDoser

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Andrei Ilie on Tuesday, October 18, 2011
Description updated by Andrei Ilie on Wednesday, October 19, 2011

Back . . . .