Nombre:Worm/IRCBot.52736.4
Descubierto:01/07/2007
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:52.736 Bytes
Suma de control MD5:ee3ed79ffb63344b6e50458b68a7814a
Versión del VDF:6.39.00.78

 General Método de propagación:
   • Messenger


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.acd
   •  F-Secure: Backdoor.Win32.IRCBot.acd
   •  Sophos: W32/IRCBot-WV
   •  Panda: W32/IrcBot.AYK.worm
   •  Eset: Win32/IRCBot.XW trojan


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero dañino
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros  Se copia a sí mismo en un archivo en la siguiente ubicación:
   • %WINDIR%\myalbum2007.zip



Crea el siguiente fichero:

– Fichero no malicioso:
   • %HOME%\new.txt

%SYSDIR%\sysprinters.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/IRCBot.24040

 Registro Añade las siguientes claves al registro:

– [HKCR\CLSID\{2E578F88-6425-4398-AB42-FF58EAA2566D}\InProcServer32]
   • @="sysprinters.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "system32"="{2E578F88-6425-4398-AB42-FF58EAA2566D}"

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– Windows Live Messenger


A:
Todas las entradas en la lista de contactos.


Mensaje
El mensaje enviado tiene el siguiente aspecto:

   • Here are my very secret pictures for you.
     Here are my pictures from my vacation
     hmm is this you on the photo ?
     Check out my pics from my workplace.
     Nice new photos of me and my friends and stuff...
     ahh look this is my greatest picture made on vacation 2007, take a look
     Check out my nice photo album. :D
     hey regarde les tof de notre bande de fous. :p
     hey c'est toi dans ces tof!!???
     hey regarde les tof, c'est moi et mes copains entrain de.... :D
     j'ai fais pour toi cet album de photos tu dois le voire :p
     stp regarde cet album de photos je lai fais specialement pour toi et mes amis...
     mes photos chaudes :D
     t'as pas encore vu ces tof???
     hey kijk eens naar mijn nieuwe foto album
     hey bekijk eens mijn nieuwe foto album
     hmm ben jij dit op de foto ?
     hey kijk ! dit is een lijst van mijn nieuwste fotos !!
     ahh kijk mijn mooiste foto album van vakantie 2007 bekijk ze eens :p
     kijk dit zijn fotos van mij werkplek! :)
     meine hei
     en Fotos ! :p
     le mie foto calde :p
     mis fotos calientes
     mi fotografias :p
     Mi amigo tom
     las fotos agradables de m :p
     mis fotos calientes
     el lol mi hermana quisiera que le enviara este


Propagación por ficheros
Envía un fichero con el siguiente nombre:
   • %WINDIR%\myalbum2007.zip


El mensaje recibido puede tener la siguiente apariencia:


 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: www.free4**********.net
Puerto: 80
Canal: #.mafia
Apodo: new[USA][0H]%serie de caracteres aleatorios%

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %SYSDIR%\sysprinters.dll


– Inyecta una rutina de puerta trasera (backdoor) en un proceso.

    Nombre del proceso:
   • EXPLORER.EXE


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.

Descripción insertada por Alexandru Dinu el martes 10 de julio de 2007
Descripción actualizada por Alexandru Dinu el martes 10 de julio de 2007

Volver . . . .