Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/IRCBot.38400
La date de la découverte:01/03/2006
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:38.400 Octets
Somme de contrôle MD5:95965ebb920D87dac65880ac9af846c2
Version VDF:6.33.01.41
Version IVDF:6.33.01.42 - mercredi 1 mars 2006

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.pd
   •  TrendMicro: WORM_TIRBOT.G
   •  Sophos: Troj/IRCBot-PD
   •  Bitdefender: Backdoor.TirBot.F


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\MSDTCs.exe



Le fichier suivant est créé:

– Fichier inoffensif:
   • %WINDIR%\msi486.dll

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • IECheck="%SYSDIR%\MSDTCs.exe"

 Infection du réseau La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS04-011 (LSASS Vulnerability)


La création des adresses IP:
Il crée des adresses IP aléatoires et il essaye d'établir une connexion avec elles.

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: r3v3ng3.**********
Port: 6667
Canal: r1sUn10n

Serveur: r3v3ng3.**********
Port: 6667
Canal: r1sUn10n

Serveur: mast4.**********
Port: 6667
Canal: r1sUn10n

Serveur: squ4r3s.**********
Port: 6667
Canal: r1sUn10n



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Détails sur les pilots
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur des processus courants
    • Taille de mémoire
    • Nom d'utilisateur
    • Répertoire de Windows
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • Lance des attaques DDoS UDP
    • Télécharger un fichier
    • Éditer le registre
    • Exécuter un fichier
    • Finir le processus
    • Opérer un attaque DDoS
    • Démarrer une routine de propagation
    • Terminer le Malware
    • Terminer un processus
    • Se mettre à jour tout seul
    • Charger un fichier

 Informations divers Mutex:
Il crée le Mutex suivant:
   • 1nUr4ssH0l3

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Description insérée par Ernest Szocs le mercredi 3 octobre 2007
Description mise à jour par Ernest Szocs le jeudi 4 octobre 2007

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.