Nombre:TR/IRC.Ryknos.A
Descubierto:10/11/2005
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:10.240 Bytes
Suma de control MD5:ebe94809b68675feddfe2a2fa889f243
Versión del VDF:6.32.00.168

 General Método de propagación:
   • No tiene rutina propia de propagación
   •  Mcafee: W32/Brepibot
   •  Kaspersky: Backdoor.Win32.Breplibot.b
   •  Sophos: Troj/Stinx-E


Plataformas / Sistemas operativos:
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\$sys$drv.exe



Elimina la copia inicial del virus.

 Registro Añade la siguiente clave al registro:

– [HKCU\WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj]
   • "$sys$drv"="$sys$drv.exe"

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: 24.**********.45
Puerto: 8080
Canal: #sony
Apodo: [%varios dígitos aleatorios%-%sistema operativo% ]%serie de caracteres aleatorios%

Servidor: 35.**********.93
Puerto: 8080
Canal: #sony
Apodo: [%varios dígitos aleatorios%-%sistema operativo% ]%serie de caracteres aleatorios%

Servidor: 67.**********.190
Puerto: 8080
Canal: #sony
Apodo: [%varios dígitos aleatorios%-%sistema operativo% ]%serie de caracteres aleatorios%

Servidor: 68.**********.76
Puerto: 8080
Canal: #sony
Apodo: [%varios dígitos aleatorios%-%sistema operativo% ]%serie de caracteres aleatorios%

Servidor: 152.**********.186
Puerto: 8080
Canal: #sony
Apodo: [%varios dígitos aleatorios%-%sistema operativo% ]%serie de caracteres aleatorios%


– Además puede efectuar la siguiente operación:
    • Descargar fichero

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • $sys$drv.exe

 Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Oculta las siguientes:
– Su propio fichero


Método empleado:
    • Emplea un rootkit que se activa al instalar programas de CDs Sony audio

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Andrei Ivanes el jueves 10 de noviembre de 2005
Descripción actualizada por Andrei Ivanes el lunes 14 de noviembre de 2005

Volver . . . .