Nombre:Worm/IrcBot.51200
Descubierto:05/12/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:51.200 Bytes
Suma de control MD5:d3f3dc33be2031c0dcb5d0e5909bb557
Versión del IVDF:6.32.01.08 - lunes 5 de diciembre de 2005

 General Método de propagación:
   • Autorun feature (es)
   • Messenger


Alias:
   •  Panda: W32/IRCBot.CLD.worm
   •  Eset: Win32/AutoRun.Agent.LB
   •  Bitdefender: Backdoor.Bot.87376


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %HOME%\Application Data\ShieldManager.exe
   • \.Autorun\835694854683549385398626893468946\Autorun.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

\.Autorun\835694854683549385398626893468946\Desktop.ini
\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

 Registro Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%ficheros ejecutados%"="%ficheros
      ejecutados%:*:Enabled:Microsoft Shield Manager"



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   Nuevo valor:
   • "Microsoft Shield Manager"="%HOME%\Application Data\ShieldManager.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   Nuevo valor:
   • "Microsoft Shield Manager"="%HOME%\Application Data\ShieldManager.exe"

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– MSN Messenger
– Yahoo Messenger


Mensaje
The sent message looks like the following: (es)

   • meinst du das ernst?
     ich hoffe es gef?llt dir
     das ist geil
     bist du das?
     du bist echt sexy
     haha das ist sooo lustig
     kennst du das?
     est
     s en serio??? :S:S
     no sab
     a que te metias cosas asi :S
     esto es horrible :S
     alguien dijo que eras tu
     eres tu de verdad?
     tu eres realmente sexi ;)
     jajaja esto es muy divertido
     encontr
      esto... te resulta familiar?
     check this one
     hehe!
     i find this one really funny :)
     is this really you???
     did you take this picture?
     who is this?
      voc
      s
     rio??? :S:S
     eu n
     o soube que voc
      apreciou o material como este:S
     isto
      horr
     vel:S
     algu
     m disse que este era voc
      isto realmente voc
     voc
      realmente sexy ;)
     o hahaha isto
      t
     o engra
     ado
     eu encontrei que isto olha familiar??
     t'es serieu la?
     je savais pas que t'aimait ce genre de truc
     c'est horrible ahah
     qqn m'a dit que c'
     tait toi
     c'est vraiment toi ou!?
     lol vraiment pas mal
     hehe detta
     r roligt
     kolla det h
     haha roligt :D
     hehe gjorde du detta?
     jag visste inte att du gillade s
     nt h
     r :S
     r detta du?
     bent u ernstig??? :S:S
     ik wist niet u van materiaal als dit genoot :S
     dit is afschuwelijk :S
     iemand zei dit u was
     dit is werkelijk u?
     u bent werkelijk sexy ;)
     hahaha dit is zo grappig
     ik vond dit het? vertrouwd kijkt?
     :D
     ;)
     :D ACCEPT!
     ;)(L)
     :P
     lol
     hm?
     pic?

La URL remite a una copia del program malicioso descrito. Si el usuario descarga y ejecuta este fichero, el proceso de infección volverá a iniciarse.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: irc.yo**********.co.uk
Puerto: 3328
Canal: #th3msn
Apodo: [USA|00|XP||%número%]

 Informaciones diversas Serie de caracteres:
Además, incluye las siguientes series de caracteres:
   • %s Sent text to: %d contacts.
   • %s Sent file to %d contacts.
   • %s Sent text to %d contacts.
   • %s Sent file to %d contacts.

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el viernes 5 de marzo de 2010
Descripción actualizada por Petre Galan el viernes 5 de marzo de 2010

Volver . . . .