Nom:Worm/IRCBot.52736.4
La date de la découverte:01/07/2007
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:52.736 Octets
Somme de contrôle MD5:ee3ed79ffb63344b6e50458b68a7814a
Version VDF:6.39.00.78

 Général Méthode de propagation:
   • Programme de messagerie


Les alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.acd
   •  F-Secure: Backdoor.Win32.IRCBot.acd
   •  Sophos: W32/IRCBot-WV
   •  Panda: W32/IrcBot.AYK.worm
   •  Eset: Win32/IRCBot.XW trojan


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers  Il se copie dans des fichiers compressés à l'emplacement suivant :
   • %WINDIR%\myalbum2007.zip



Le fichier suivant est créé:

– Fichier inoffensif:
   • %HOME%\new.txt

%SYSDIR%\sysprinters.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/IRCBot.24040

 Registre Les clés de registre suivantes sont ajoutée:

– [HKCR\CLSID\{2E578F88-6425-4398-AB42-FF58EAA2566D}\InProcServer32]
   • @="sysprinters.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "system32"="{2E578F88-6425-4398-AB42-FF58EAA2566D}"

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– Windows Live Messenger


A:
Tous les entrés de la liste de contacts:


Message
Le message envoyé ressemble à celui-ci:

   • Here are my very secret pictures for you.
     Here are my pictures from my vacation
     hmm is this you on the photo ?
     Check out my pics from my workplace.
     Nice new photos of me and my friends and stuff...
     ahh look this is my greatest picture made on vacation 2007, take a look
     Check out my nice photo album. :D
     hey regarde les tof de notre bande de fous. :p
     hey c'est toi dans ces tof!!???
     hey regarde les tof, c'est moi et mes copains entrain de.... :D
     j'ai fais pour toi cet album de photos tu dois le voire :p
     stp regarde cet album de photos je lai fais specialement pour toi et mes amis...
     mes photos chaudes :D
     t'as pas encore vu ces tof???
     hey kijk eens naar mijn nieuwe foto album
     hey bekijk eens mijn nieuwe foto album
     hmm ben jij dit op de foto ?
     hey kijk ! dit is een lijst van mijn nieuwste fotos !!
     ahh kijk mijn mooiste foto album van vakantie 2007 bekijk ze eens :p
     kijk dit zijn fotos van mij werkplek! :)
     meine hei
     en Fotos ! :p
     le mie foto calde :p
     mis fotos calientes
     mi fotografias :p
     Mi amigo tom
     las fotos agradables de m :p
     mis fotos calientes
     el lol mi hermana quisiera que le enviara este


Propagation pas fichier
Il envoie un fichier avec le nom suivant:
   • %WINDIR%\myalbum2007.zip


Le message reçu aurait l'air du message suivant:


 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: www.free4**********.net
Port: 80
Canal: #.mafia
Pseudonyme: new[USA][0H]%chaîne de caractères aléatoire%

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\sysprinters.dll


– Il injecte une routine porte dérobée dans un processus:

    Nom du processus :
   • EXPLORER.EXE


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.

Description insérée par Alexandru Dinu le mardi 10 juillet 2007
Description mise à jour par Alexandru Dinu le mardi 10 juillet 2007

Retour . . . .