¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/IrcBot.164961
Descubierto:17/02/2010
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:164.961 Bytes
Suma de control MD5:46e08081b696370727025779742237fd
Versión del IVDF:7.10.04.80 - miércoles, 17 de febrero de 2010

 General Métodos de propagación:
   • Función de autoejecución
   • Red local


Alias:
   •  Bitdefender: Backdoor.SDBot.DGFO
   •  Eset: Win32/AutoRun.Agent.RF


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\sysdiag64.exe
   • %disquetera%\autorun.exe



Crea los siguientes ficheros:

%disquetera%\auTORUN.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

%SYSDIR%\DROPPEDFILEOK.tmp



Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
   • "%WINDIR%\sysdiag64.exe"

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "sysdiag64.exe"="%WINDIR%\sysdiag64.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "MicrosoftNAPC"="%WINDIR%\sysdiag64.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "MicrosoftCorp"="%WINDIR%\sysdiag64.exe"

–  [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW]
   • DWFileTreeRoot

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnerability in Server Service)


Creación de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones generadas.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: vte**********.info
Puerto: 51987
Canal: #pwn
Apodo: TsGh{USA-XP}%número%

 Inyectar el código viral en otros procesos – Se inyecta como un hilo de ejecución remoto en un proceso.

    Nombre del proceso:
   • %aleator%


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el martes, 10 de agosto de 2010
Descripción actualizada por Petre Galan el jueves, 12 de agosto de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.