Nume:BDS/IRCBot.NB.1
Descoperit pe data de:25/01/2006
Tip:Backdoor Server
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:51.225 Bytes
MD5:3236fe1cfdf7f4ad1ee178181e2bddb2
Versiune VDF:6.33.00.155

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  TrendMicro: BKDR_IRCBOT.DT
   •  Bitdefender: Backdoor.IRCBot.NB


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\drivers\winlogon.exe

 Registrii sistemului Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "Shell"="Explorer.exe"
   Noua valoare:
   • "Shell"="Explorer.exe %SYSDIR%\drivers\winlogon.exe"

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: irc.i1**********
Port: 6667
Canal: #pyro6
Nick: %numele computerului%[%sir de 7 caractere aleatoare%]



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Captura ecranului
    • Viteza procesorului
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre procesele sistemului
    • Cantitatea de memorie
    • Utilizator
    • Directorul Windows
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • Lanseaza atacuri DDoS ICMP
    • Lanseaza atacuri DDoS SYN
    • Lanseaza atacuri DDoS TCP
    • Lanseaza atacuri DDoS UDP
    • deconectare server IRC
    • descarcare fisier
    • executarea unui fisier
    • intrare pe canal IRC
    • terminare proces
    • parasire canal IRC
    • deschidere consola
    • executare atac DDoS
    • Inregistreaza un serviciu
    • oprierea sistemului

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • explorer.exe

   In cazul esecului operatiunii, malware-ul continua sa ruleze.

 Alte informatii Sir de caractere:
In plus, mai contine urmatorul sir de caractere:
   • IRCBot (v.0.1a) (C) KEZ <kez@antichat.ru> (Respect to 777)

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Daniel Constantin le vendredi 10 février 2006
Description mise à jour par Daniel Constantin le lundi 13 février 2006

Retour . . . .