Nombre:Worm/IRCBot.10790
Descubierto:09/05/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:10.790 Bytes
Suma de control MD5:e3614ba296c9b4a5cd4537c90f072865
Versión del VDF:6.31.01.212

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: Backdoor.Win32.IRCBot.fx
   •  Kaspersky: BKDR_IRCBOT.BZ
   •  TrendMicro: W32/Sdbot.LXR
   •  Grisoft: Trojan.DR.IRCBot.DZ1
   •  Eset: Backdoor.IRCBot.FX


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\csrss.exe

%WINDIR%\kmc.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/IRCBot.8402

 Registro Añade las siguientes claves al registro:

– [HKCR\CLSID\%CLSID generados%\InProcServer32]
   • @="kmc.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "System"="%CLSID generados%

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: irc.foofle.net
Puerto: 6667
Canal: #sbots_main
Apodo: %nombre del ordenador%



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de la red
    • Informaciones acerca del sistema operativo Windows
    • Descargar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Abrir remote shell
    • Realizar un análisis de la red
    • Reiniciar sistema
    • Terminar proceso viral
    • Terminar proceso
    • Se actualiza solo
    • Cargar fichero en Internet
    • Visitar un sitio web

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Razvan Olteanu el martes 15 de noviembre de 2005
Descripción actualizada por Andrei Ivanes el miércoles 23 de noviembre de 2005

Volver . . . .