¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:BDS/IRCBot.DL.105
Descubierto:15/05/2011
Tipo:Servidor Backdoor
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:197.280 Bytes
Suma de control MD5:4A1376AE66413095000D5DD3544C4128
Versin del VDF:7.11.08.22 - domingo 15 de mayo de 2011
Versin del IVDF:7.11.08.22 - domingo 15 de mayo de 2011

 General Mtodo de propagacin:
    Funcin de autoejecucin


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.bwjw
   •  Sophos: Troj/Bckdr-RIR
     Microsoft: Backdoor:Win32/IRCbot.DL
     GData: Worm.Generic.317684
     DrWeb: Trojan.DownLoader2.39345


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dainos
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %APPDATA%\Microsoft\%serie de caracteres aleatorios%.exe

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%serie de caracteres aleatorios%.exe"="%APPDATA%\Microsoft\%serie de caracteres aleatorios%.exe"

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: **********ney.no-ip.info
Puerto: 3074
Apodo: %serie de caracteres aleatorios%



 Este programa malicioso puede obtener y enviar informaciones tales como:
    • Nombre de usuario
    • Informaciones acerca del sistema operativo Windows


 Adems puede efectuar las siguientes operaciones:
     conectarse al servidor IRC
     desconectarse del servidor IRC
    • Ingresar a un canal IRC
    • Salir del canal IRC

 Backdoor (Puerta trasera) Abre el siguiente puerto:

svchost.exe en el puerto UDP 1900 para proporcionar capabilidades de backdoor.

 Robo de informaciones  Contraseas guardadas, empleadas por la funcin AutoComplete

Las contraseas de los siguientes programas:
   • Mozilla Firefox
   • Internet Explorer

 Inyectar el cdigo viral en otros procesos Se inyecta como un hilo de ejecucin remoto en un proceso.

    Nombre del proceso:
   • svchost.exe


 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • HelloDDoser

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en Delphi.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Andrei Ilie el martes 18 de octubre de 2011
Descripción actualizada por Andrei Ilie el miércoles 19 de octubre de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.