Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/IrcBot.229376.1
La date de la dcouverte:04/07/2006
Type:Ver
En circulation:Oui
Infections signales Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:229.376 Octets
Somme de contrle MD5:2a560ce28707e8ddfc35ec539df1932d
Version IVDF:6.35.00.115 - mardi 4 juillet 2006

 Gnral Mthode de propagation:
    Programme de messagerie


Les alias:
   •  Sophos: Mal/VBInject-T
   •  Bitdefender: Trojan.Generic.KD.12598
   •  Eset: Win32/Boberog.AQ


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il facilite l'accs non autoris l'ordinateur
   • Il diminue les rglages de scurit
   • Il cre des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %HOME%\Application Data\msng.exe



Le fichier suivant est cr:

%SYSDIR%\winsvncs.txt



Il essaie dexcuter le fichier suivant :

Nom de fichier: Noms des fichiers:
   • "%HOME%\Application Data\msng.exe"

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows System Guard"="%HOME%\Application Data\msng.exe"



Il cre l'entre suivante afin de passer par le Firewall de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%HOME%\Application Data\msng.exe"="%HOME%\Application
      Data\msng.exe:*:Enabled:Windows System Guard"

 Programme de messagerie Il se rpand par l'intermdiaire du programme de messagerie. Les caractristiques sont dcrites ci-dessous:

 AIM Messenger
 Yahoo Messenger


Message
Le message envoy ressemble un des suivants:

   • olhar para esta foto :D
     se p
      dette bildet :D
     bekijk deze foto :D
     schau mal das foto an :D
     look at this picture :D
     mira esta fotograf
     a :D
     regardez cette photo :D
     guardare quest'immagine :D
     pod
     vejte se na mou fotku :D
     ser p
      dette billede :D
     zd meg a k
     pet :D
     spojrzec na to zdjecie :D
     bu resmi bakmak :D
     katso t
      kuvaa :D
     uita-te la aceasta fotografie :D
     pozrite sa na t
     to fotografiu :D
     titta p
      denna bild :D
     poglej to fotografijo :D
     pogledaj to slike :D
     seen this?? :D

Le URL se rapporte alors une copie du malware dcrit. Si l'utilisateur tlcharge et excute ce fichier le procd d'infection commencera encore.

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: u.mai**********.com
Port: 81
Canal: #newbin#
Pseudonyme: n[USA|XP]%nombre%

 Dtails de fichier Langage de programmation:
Le fichier a t crit en Visual Basic.

Description insérée par Petre Galan le lundi 9 août 2010
Description mise à jour par Petre Galan le jeudi 12 août 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.