Nume:Worm/Agent.131072.1
Descoperit pe data de:30/06/2009
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:131.072 Bytes
MD5:16cc4f09d28e442181972c914c508b7f
Versiune IVDF:7.01.04.156 - mardi 30 juin 2009

 General Alias:
   •  Mcafee: W32/IRCbot.gen.a
   •  Sophos: W32/Spybot-OU
   •  Panda: W32/IRCBot.CRG
   •  Eset: Win32/AutoRun.IRCBot.DJ
   •  Bitdefender: Worm.Generic.92413


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\winulty.exe



Sterge copia initiala a virusului.

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Upgrate Utility"="%SYSDIR%\winulty.exe"

 Reţea Exploit:
Foloseste urmatoarele vulnerabilitati:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-011 (LSASS Vulnerability)

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: srv1.me**********.ru
Port: 1863
Canal: #bdd
Nick: USA|0|XP|%numar%

Server: srv1.ma**********.ru
Port: 1863
Canal: #bdd
Nick: USA|0|XP|%numar%


– In plus, poate efectua urmatoarele operatii:
    • executarea unui fisier
    • Scaneaza reteaua
    • Se actualizeaza singur

 Injectarea codului malware in alte procese – Se injecteaza ca un thread remote intr-un proces.

    Numele procesului:
   • winlogon.exe


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Description insérée par Petre Galan le mercredi 17 février 2010
Description mise à jour par Petre Galan le mercredi 17 février 2010

Retour . . . .