¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/IrcBot.164961
Descubierto:17/02/2010
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:164.961 Bytes
Suma de control MD5:46e08081b696370727025779742237fd
Versin del IVDF:7.10.04.80 - miércoles 17 de febrero de 2010

 General Mtodos de propagacin:
    Funcin de autoejecucin
   • Red local


Alias:
   •  Bitdefender: Backdoor.SDBot.DGFO
   •  Eset: Win32/AutoRun.Agent.RF


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Suelta ficheros dainos
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %WINDIR%\sysdiag64.exe
   • %disquetera%\autorun.exe



Crea los siguientes ficheros:

%disquetera%\auTORUN.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%

%SYSDIR%\DROPPEDFILEOK.tmp



Intenta ejecutar el siguiente fichero:

Ejecuta uno de los ficheros siguientes:
   • "%WINDIR%\sysdiag64.exe"

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "sysdiag64.exe"="%WINDIR%\sysdiag64.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "MicrosoftNAPC"="%WINDIR%\sysdiag64.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "MicrosoftCorp"="%WINDIR%\sysdiag64.exe"

–  [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW]
   • DWFileTreeRoot

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-007 (ASN.1 Vulnerability)
 MS06-040 (Vulnerability in Server Service)


Creacin de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia direccin. Luego intenta establecer una conexin con las direcciones generadas.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: vte**********.info
Puerto: 51987
Canal: #pwn
Apodo: TsGh{USA-XP}%nmero%

 Inyectar el cdigo viral en otros procesos Se inyecta como un hilo de ejecucin remoto en un proceso.

    Nombre del proceso:
   • %aleator%


 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el martes 10 de agosto de 2010
Descripción actualizada por Petre Galan el jueves 12 de agosto de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.