Nume:Worm/IRCBot.10790
Descoperit pe data de:09/05/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:10.790 Bytes
MD5:e3614ba296c9b4a5cd4537c90f072865
Versiune VDF:6.31.01.212

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: Backdoor.Win32.IRCBot.fx
   •  Kaspersky: BKDR_IRCBOT.BZ
   •  TrendMicro: W32/Sdbot.LXR
   •  Grisoft: Trojan.DR.IRCBot.DZ1
   •  Eset: Backdoor.IRCBot.FX


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\csrss.exe

– %WINDIR%\kmc.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/IRCBot.8402

 Registrii sistemului Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCR\CLSID\%CLSID generate%\InProcServer32]
   • @="kmc.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "System"="%CLSID generate%

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: irc.foofle.net
Port: 6667
Canal: #sbots_main
Nick: %numele computerului%



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre retea
    • Informatii despre sistemul de operare
    • descarcare fisier
    • intrare pe canal IRC
    • terminare proces
    • deschidere consola
    • Scaneaza reteaua
    • repornirea sistemului
    • terminare proces malware
    • terminare proces
    • Se actualizeaza singur
    • Face upload la un fisier
    • Vizitarea unui website

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Razvan Olteanu le mardi 15 novembre 2005
Description mise à jour par Andrei Ivanes le mercredi 23 novembre 2005

Retour . . . .