Nombre:TR/IRCBot.MX
Descubierto:20/01/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:196.608 Bytes
Suma de control MD5:1a8676220F19f1b0052dc59fac6ad94f
Versión del VDF:6.33.00.144

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.mx
   •  TrendMicro: BKDR_IRCBOT.DU
   •  Bitdefender: Backdoor.IRCBot.MX

Identificado anteriormente como:
   •  Worm/IRCBot.MX


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\SysCfg.exe



Elimina la copia inicial del virus.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SysCfg" = "%SYSDIR%\SysCfg.exe"



Añade la siguiente clave al registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "kl" = dword:00000000
   • "keep1" = dword:00000000
   • "keepnick1" = "r"
   • "name1" = "Realname"
   • "user1" = "user"
   • "nick1" = "Nick%serie de caracteres aleatorios de dos dígitos%"
   • "port1" = "6667"
   • "server1" = %servidor IRC%

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: irc.lub**********
Puerto: 6667
Canal: #chimera
Apodo: Nick%serie de caracteres aleatorios de dos dígitos%
Contraseña: software

Servidor: open.pl.irc**********
Puerto: 6667
Canal: #chimera
Apodo: Nick%serie de caracteres aleatorios de dos dígitos%
Contraseña: software

Servidor: poznan.i**********
Puerto: 6667
Canal: #chimera
Apodo: Nick%serie de caracteres aleatorios de dos dígitos%
Contraseña: software

Servidor: warszawa**********
Puerto: 6667
Canal: #chimera
Apodo: Nick%serie de caracteres aleatorios de dos dígitos%
Contraseña: software


– Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • desconectarse del servidor IRC
    • Descargar fichero
    • Ejecutar fichero
    • Ingresar a un canal IRC
    • Salir del canal IRC
    • Ejecutar ataque DDoS
    • Enviar mensajes de correo
    • Iniciar la captura de pulsaciones de teclado
    • Se actualiza solo

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Daniel Constantin el miércoles 8 de febrero de 2006
Descripción actualizada por Andrei Ivanes el miércoles 15 de febrero de 2006

Volver . . . .