¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/IRCBot.aak
Descubierto:19/07/2007
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:75.549 Bytes
Suma de control MD5:4629915b7e40dddedf7deeb07ced5784
Versión del VDF:6.39.00.34 - martes, 19 de junio de 2007
Versión del IVDF:6.39.00.34 - martes, 19 de junio de 2007

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Mcafee: W32/Sdbot.worm.gen.l
   •  Kaspersky: Backdoor.Win32.IRCBot.aak
   •  F-Secure: Backdoor.Win32.IRCBot.aak
   •  Panda: Trj/Mailbot.CE
   •  Eset: Win32/IRCBot.XN
   •  Bitdefender: Backdoor.RBot.BTK


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\mdmd.exe



Elimina la copia inicial del virus.



Crea el siguiente fichero:

%SYSDIR%\helpermdmd.exe Además, el fichero es ejecutado después de haber sido creado. Detectado como: TR/Proxy.Slaper.E.51

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "melg34"="%SYSDIR%\mdmd.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "melg34"="%SYSDIR%\mdmd.exe"

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • l4.penny**********:24104

De esta forma, puede enviar informaciones y obtener el control remoto.

Capabilidades de control remoto:
    • Enviar mensajes de correo

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Ana Maria Niculescu el miércoles, 3 de octubre de 2007
Descripción actualizada por Ana Maria Niculescu el jueves, 4 de octubre de 2007

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.