Nom:BDS/IRCBot.NB.1
La date de la découverte:25/01/2006
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:51.225 Octets
Somme de contrôle MD5:3236fe1cfdf7f4ad1ee178181e2bddb2
Version VDF:6.33.00.155

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  TrendMicro: BKDR_IRCBOT.DT
   •  Bitdefender: Backdoor.IRCBot.NB


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\drivers\winlogon.exe

 Registre La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   La nouvelle valeur:
   • "Shell"="Explorer.exe %SYSDIR%\drivers\winlogon.exe"

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: irc.i1**********
Port: 6667
Canal: #pyro6
Pseudonyme: %le nom de l'ordinateur%[%chaîne de caractères aléatoire de sept digits%]



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Capture d'écran
    • Vitesse du CPU
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur des processus courants
    • Taille de mémoire
    • Nom d'utilisateur
    • Répertoire de Windows
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Lancer des attaques DDoS ICMP
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS TCP
    • Lance des attaques DDoS UDP
    • se déconnecter du serveur IRC
    • Télécharger un fichier
    • Exécuter un fichier
    • Joindre le canal IRC
    • Finir le processus
    • Quitter la canal IRC
    • Ouvrir une ligne de commande à distance
    • Opérer un attaque DDoS
    • Enregistrer un service
    • Arrêter le système

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus:
   • explorer.exe

   Si le malware échoue, il continuera de fonctionner comme processus.

 Informations divers Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
   • IRCBot (v.0.1a) (C) KEZ <kez@antichat.ru> (Respect to 777)

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Daniel Constantin le vendredi 10 février 2006
Description mise à jour par Daniel Constantin le lundi 13 février 2006

Retour . . . .