Nombre:BDS/IRCBot.NB.1
Descubierto:25/01/2006
Tipo:Servidor Backdoor
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:51.225 Bytes
Suma de control MD5:3236fe1cfdf7f4ad1ee178181e2bddb2
Versión del VDF:6.33.00.155

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  TrendMicro: BKDR_IRCBOT.DT
   •  Bitdefender: Backdoor.IRCBot.NB


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\drivers\winlogon.exe

 Registro Modifica la siguiente clave del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   Nuevo valor:
   • "Shell"="Explorer.exe %SYSDIR%\drivers\winlogon.exe"

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: irc.i1**********
Puerto: 6667
Canal: #pyro6
Apodo: %nombre del ordenador%[%serie de caracteres aleatorios de siete dígitos%]



– Este programa malicioso puede obtener y enviar informaciones tales como:
    • Captura de pantalla
    • Velocidad del procesador
    • Espacio libre en el disco
    • Memoria disponible
    • Tiempo de trabajo del programa viral
    • Informaciones acerca de los procesos del sistema
    • Tamaño de la memoria
    • Nombre de usuario
    • Carpeta Windows
    • Informaciones acerca del sistema operativo Windows


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • Iniciar ataques DDoS por desbordamiento de ICMP
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Iniciar ataques DDoS por desbordamiento de TCP
    • Iniciar ataques DDoS por desbordamiento de UDP
    • desconectarse del servidor IRC
    • Descargar fichero
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Terminar proceso
    • Salir del canal IRC
    • Abrir remote shell
    • Ejecutar ataque DDoS
    • Registrar un servicio
    • Apagar sistema

 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Nombre del proceso:
   • explorer.exe

   Si la operación falla, el programa malicioso sigue ejecutándose como proceso.

 Informaciones diversas Serie de caracteres:
Además, incluye la siguiente serie de caracteres:
   • IRCBot (v.0.1a) (C) KEZ <kez@antichat.ru> (Respect to 777)

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Daniel Constantin el viernes 10 de febrero de 2006
Descripción actualizada por Daniel Constantin el lunes 13 de febrero de 2006

Volver . . . .