¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/IrcBot.19968.20
Descubierto:05/05/2008
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:19.968 Bytes
Suma de control MD5:175528310Da902dbbe27f005815a2b79
Versin del VDF:7.0.04.015
Versin del IVDF:7.0.04.016

 General Mtodo de propagacin:
    Messenger


Alias:
   •  Mcafee: W32/IRCbot.gen.a
   •  Kaspersky: Backdoor.Win32.IRCBot.cud
   •  F-Secure: Backdoor.Win32.IRCBot.cud
   •  Grisoft: BackDoor.Ircbot.EDV
   •  Eset: Win32/IRCBot
   •  Bitdefender: Backdoor.IRCBot.ABYQ


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Bloquea el acceso a ciertos sitios web
   • Bloquea el acceso a portales de seguridad
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\initserv.exe



Elimina la copia inicial del virus.

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Initialization Services="initserv.exe"

 Messenger Se propaga por Messenger. Sus caractersticas estn descritas a continuacin:

Windows Live Messenger


A:
Todas las entradas en la lista de contactos.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: nagasaki.japancorporation.**********
Puerto: 9103
Contrasea del servidor: su1c1d3
Canal: #net
Apodo: \00\USA\%serie de caracteres de 10 dgitos aleatorios%
Contrasea: n3t!



 Este programa malicioso puede obtener y enviar informaciones tales como:
    • ID de la plataforma
    • Informaciones acerca del sistema operativo Windows


 Adems puede efectuar las siguientes operaciones:
     conectarse al servidor IRC
    • Descargar fichero
    • Editar el registro del sistema
    • Ejecutar fichero
    • Salir del canal IRC
     Iniciar la rutina de propagacin
     Visitar un sitio web

 Ficheros host El fichero host es modificado de la siguiente manera:

En este caso, las entradas existentes sern eliminadas.

El acceso a los siguientes dominios est bloqueado:
   • jayloden.com; www.jayloden.com; www.spywareinfo.com; spywareinfo.com;
      www.spybot.info; spybot.info; kaspersky.com; kaspersky-labs.com;
      www.kaspersky.com; www.majorgeeks.com; majorgeeks.com;
      securityresponse.symantec.com; symantec.com; www.symantec.com;
      updates.symantec.com; liveupdate.symantecliveupdate.com;
      liveupdate.symantec.com; customer.symantec.com; update.symantec.com;
      www.sophos.com; sophos.com; www.virustotal.com; virustotal.com;
      www.mcafee.com; mcafee.com; rads.mcafee.com; mast.mcafee.com;
      download.mcafee.com; dispatch.mcafee.com; us.mcafee.com;
      www.trendsecure.com; trendsecure.com; www.viruslist.com;
      viruslist.com; www.hijackthis.de; hijackthis.de; f-secure.com;
      www.f-secure.com; Merijn.org; www.Merijn.org; www.avp.com; avp.com;
      analysis.seclab.tuwien.ac.at; www.bleepingcomputer.com;
      bleepingcomputer.com; trendmicro.com; www.trendmicro.com;
      www.safer-networking.org; safer-networking.org; grisoft.com;
      www.grisoft.com




El fichero host modificado se ver as:


 Tecnologa Rootkit Es una tecnologa especfica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Oculta las siguientes:
– Su propio proceso

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • UPX

Descripción insertada por Monica Ghitun el jueves 7 de agosto de 2008
Descripción actualizada por Andrei Gherman el miércoles 20 de agosto de 2008

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.