English
Deutsch
Français
Español
Italiano
Portal
Amenazas
Worm/IRCBot.38400
Búsqueda
Portal
Soporte
Soluciones
Productos
Descargas
Amenazas
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Compañía
Prensa
Socios
Newsletter
TechBlog
Worm/IRCBot.38400 - Worm
Vea también
Resumen
Descripción completa
Estadísticas
How would you rate this information?
Worthless
Excellent
Nombre:
Worm/IRCBot.38400
Descubierto:
01/03/2006
Tipo:
Gusano
En circulación (ITW):
Sí
Número de infecciones comunicadas:
Bajo
Potencial de propagación:
Medio-alto
Potencial dañino:
Medio
Fichero estático:
Sí
Tamaño:
38.400 Bytes
Suma de control MD5:
95965ebb920D87dac65880ac9af846c2
Versión del VDF:
6.33.01.41
Versión del IVDF:
6.33.01.42
General
Método de propagación:
• Red local
Alias:
• Kaspersky: Backdoor.Win32.IRCBot.pd
• TrendMicro: WORM_TIRBOT.G
• Sophos: Troj/IRCBot-PD
• Bitdefender: Backdoor.TirBot.F
Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efectos secundarios:
• Suelta un fichero
• Modificaciones en el registro
• Emplea vulnerabilidades de software
• Posibilita el acceso no autorizado al ordenador
Ficheros
Se copia a sí mismo en la siguiente ubicación:
•
%SYSDIR%
\MSDTCs.exe
Crea el siguiente fichero:
– Fichero no malicioso:
•
%WINDIR%
\msi486.dll
Registro
Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• IECheck="
%SYSDIR%
\MSDTCs.exe"
Infección en la red
Exploit:
Emplea la siguiente brecha de seguridad:
–
MS04-011
(LSASS Vulnerability)
Creación de direcciones IP:
Crea direcciones IP aleatorias e intenta establecer una conexión con dichas IPs.
IRC
Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:
Servidor: r3v3ng3.**********
Puerto: 6667
Canal: r1sUn10n
Servidor: r3v3ng3.**********
Puerto: 6667
Canal: r1sUn10n
Servidor: mast4.**********
Puerto: 6667
Canal: r1sUn10n
Servidor: squ4r3s.**********
Puerto: 6667
Canal: r1sUn10n
– Este programa malicioso puede obtener y enviar informaciones tales como:
• Velocidad del procesador
• Usuario actual
• Informaciones acerca de los controladores de dispositivos
• Espacio libre en el disco
• Memoria disponible
• Tiempo de trabajo del programa viral
• Informaciones acerca de los procesos del sistema
• Tamaño de la memoria
• Nombre de usuario
• Carpeta Windows
• Informaciones acerca del sistema operativo Windows
– Además puede efectuar las siguientes operaciones:
• Iniciar ataques DDoS por desbordamiento de UDP
• Descargar fichero
• Editar el registro del sistema
• Ejecutar fichero
• Terminar proceso
• Ejecutar ataque DDoS
• Iniciar la rutina de propagación
• Terminar proceso viral
• Terminar proceso
• Se actualiza solo
• Cargar fichero en Internet
Informaciones diversas
Objeto mutex:
Crea el siguiente objeto mutex:
• 1nUr4ssH0l3
Datos del fichero
Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.
Para una breve descripción vea el resumen
aquí
.
Descripción insertada por Ernest Szocs el Wed, 03 Oct 2007 10:47 (GMT+1)
Descripción actualizada por Ernest Szocs el Thu, 04 Oct 2007 12:33 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« volver
Imprimir esta página
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Recibir de forma sencilla noticias actuales de Avira como
Detecta y elimina determinado malware y sus variantes.
Descargar aquí
Integrar la
Advertencia de virus
en su sitio web
© 2009 Avira GmbH
Copyright
|
Protección de datos
|
Mapa web
|
Feedback
|
Pie de imprenta
|
FAQ
|
Contacto
Amenazas Worm/IRCBot.38400
Imprimir esta página
.gif)
