¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:BDS/IRCBot.DL.109
Descubierto:18/05/2011
Tipo:Servidor Backdoor
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:246.272 Bytes
Suma de control MD5:e72c762b783cc8fd9539be7ffd8c968c
Versión del VDF:7.11.08.60 - miércoles, 18 de mayo de 2011
Versión del IVDF:7.11.08.60 - miércoles, 18 de mayo de 2011

 General Método de propagación:
   • Función de autoejecución


Alias:
   •  Kaspersky: Trojan.Win32.VBKrypt.cpaa
   •  F-Secure: Trojan.Win32.VBKrypt.cpaa
   •  Bitdefender: Worm.Generic.304824
   •  GData: Worm.Generic.304824
   •  DrWeb: Trojan.DownLoader2.13605


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %disquetera%\svchost.exe
   • %HOME%\Application Data\Microsoft\svchost.exe



Crea el siguiente fichero:

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%




Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
   • %HOME%\Application Data\Microsoft\svchost.exe

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "svchost.exe"="%HOME%\Application Data\Microsoft\svchost.exe"

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • wwo.no-**********.info:3085 (TCP)


 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas guardadas, empleadas por la función AutoComplete

– La contraseña del programa:
   • Mozilla Firefox

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • ddos556mutex

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el viernes, 3 de junio de 2011
Descripción actualizada por Petre Galan el viernes, 3 de junio de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.