Nume:TR/IRC.Ryknos.A
Descoperit pe data de:10/11/2005
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:10.240 Bytes
MD5:ebe94809b68675feddfe2a2fa889f243
Versiune VDF:6.32.00.168

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire
   •  Mcafee: W32/Brepibot
   •  Kaspersky: Backdoor.Win32.Breplibot.b
   •  Sophos: Troj/Stinx-E


Sistem de operare:
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efecte secundare:
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\$sys$drv.exe



Sterge copia initiala a virusului.

 Registrii sistemului Se adauga in registrii sistemului:

– [HKCU\WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj]
   • "$sys$drv"="$sys$drv.exe"

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: 24.**********.45
Port: 8080
Canal: #sony
Nick: [%cateva cifre aleatoare%-%sistem de operare%]%combinatie de caractere aleatoare%

Server: 35.**********.93
Port: 8080
Canal: #sony
Nick: [%cateva cifre aleatoare%-%sistem de operare%]%combinatie de caractere aleatoare%

Server: 67.**********.190
Port: 8080
Canal: #sony
Nick: [%cateva cifre aleatoare%-%sistem de operare%]%combinatie de caractere aleatoare%

Server: 68.**********.76
Port: 8080
Canal: #sony
Nick: [%cateva cifre aleatoare%-%sistem de operare%]%combinatie de caractere aleatoare%

Server: 152.**********.186
Port: 8080
Canal: #sony
Nick: [%cateva cifre aleatoare%-%sistem de operare%]%combinatie de caractere aleatoare%


– In plus, poate efectua urmatoarea operatie:
    • descarcare fisier

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • $sys$drv.exe

 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Ascunde urmatoarele:
– Propriul fisier


Metoda folosita:
    • Foloseste rootkit, care se activeaza la instalarea de software de pe CD Sony Audio

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Andrei Ivanes le jeudi 10 novembre 2005
Description mise à jour par Andrei Ivanes le lundi 14 novembre 2005

Retour . . . .