Nom:Worm/IrcBot.51200
La date de la découverte:05/12/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:51.200 Octets
Somme de contrôle MD5:d3f3dc33be2031c0dcb5d0e5909bb557
Version IVDF:6.32.01.08 - lundi 5 décembre 2005

 Général Méthode de propagation:
   • Autorun feature (fr)
   • Programme de messagerie


Les alias:
   •  Panda: W32/IRCBot.CLD.worm
   •  Eset: Win32/AutoRun.Agent.LB
   •  Bitdefender: Backdoor.Bot.87376


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %HOME%\Application Data\ShieldManager.exe
   • \.Autorun\835694854683549385398626893468946\Autorun.exe



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

\.Autorun\835694854683549385398626893468946\Desktop.ini
\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   •

 Registre Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%le fichier exécuté%"="%le fichier
      exécuté%:*:Enabled:Microsoft Shield Manager"



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   La nouvelle valeur:
   • "Microsoft Shield Manager"="%HOME%\Application Data\ShieldManager.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   La nouvelle valeur:
   • "Microsoft Shield Manager"="%HOME%\Application Data\ShieldManager.exe"

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– MSN Messenger
– Yahoo Messenger


Message
Le message envoyé ressemble à celui-ci:

   • meinst du das ernst?
     ich hoffe es gef?llt dir
     das ist geil
     bist du das?
     du bist echt sexy
     haha das ist sooo lustig
     kennst du das?
     est
     s en serio??? :S:S
     no sab
     a que te metias cosas asi :S
     esto es horrible :S
     alguien dijo que eras tu
     eres tu de verdad?
     tu eres realmente sexi ;)
     jajaja esto es muy divertido
     encontr
      esto... te resulta familiar?
     check this one
     hehe!
     i find this one really funny :)
     is this really you???
     did you take this picture?
     who is this?
      voc
      s
     rio??? :S:S
     eu n
     o soube que voc
      apreciou o material como este:S
     isto
      horr
     vel:S
     algu
     m disse que este era voc
      isto realmente voc
     voc
      realmente sexy ;)
     o hahaha isto
      t
     o engra
     ado
     eu encontrei que isto olha familiar??
     t'es serieu la?
     je savais pas que t'aimait ce genre de truc
     c'est horrible ahah
     qqn m'a dit que c'
     tait toi
     c'est vraiment toi ou!?
     lol vraiment pas mal
     hehe detta
     r roligt
     kolla det h
     haha roligt :D
     hehe gjorde du detta?
     jag visste inte att du gillade s
     nt h
     r :S
     r detta du?
     bent u ernstig??? :S:S
     ik wist niet u van materiaal als dit genoot :S
     dit is afschuwelijk :S
     iemand zei dit u was
     dit is werkelijk u?
     u bent werkelijk sexy ;)
     hahaha dit is zo grappig
     ik vond dit het? vertrouwd kijkt?
     :D
     ;)
     :D ACCEPT!
     ;)(L)
     :P
     lol
     hm?
     pic?

Le URL se rapporte alors à une copie du malware décrit. Si l'utilisateur télécharge et exécute ce fichier le procédé d'infection commencera encore.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: irc.yo**********.co.uk
Port: 3328
Canal: #th3msn
Pseudonyme: [USA|00|XP||%nombre%]

 Informations divers Chaîne de caractères:
Ensuite il contient les chaînes de caractères suivantes:
   • %s Sent text to: %d contacts.
   • %s Sent file to %d contacts.
   • %s Sent text to %d contacts.
   • %s Sent file to %d contacts.

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le vendredi 5 mars 2010
Description mise à jour par Petre Galan le vendredi 5 mars 2010

Retour . . . .