Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/IrcBot.229376.1
La date de la découverte:04/07/2006
Type:Ver
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:229.376 Octets
Somme de contrôle MD5:2a560ce28707e8ddfc35ec539df1932d
Version IVDF:6.35.00.115 - mardi 4 juillet 2006

 Général Méthode de propagation:
   • Programme de messagerie


Les alias:
   •  Sophos: Mal/VBInject-T
   •  Bitdefender: Trojan.Generic.KD.12598
   •  Eset: Win32/Boberog.AQ


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il facilite l'accès non autorisé à l'ordinateur
   • Il diminue les réglages de sécurité
   • Il crée des fichiers malveillants
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %HOME%\Application Data\msng.exe



Le fichier suivant est créé:

%SYSDIR%\winsvncs.txt



Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
   • "%HOME%\Application Data\msng.exe"

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows System Guard"="%HOME%\Application Data\msng.exe"



Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%HOME%\Application Data\msng.exe"="%HOME%\Application
      Data\msng.exe:*:Enabled:Windows System Guard"

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– AIM Messenger
– Yahoo Messenger


Message
Le message envoyé ressemble à un des suivants:

   • olhar para esta foto :D
     se p
      dette bildet :D
     bekijk deze foto :D
     schau mal das foto an :D
     look at this picture :D
     mira esta fotograf
     a :D
     regardez cette photo :D
     guardare quest'immagine :D
     pod
     vejte se na mou fotku :D
     ser p
      dette billede :D
     zd meg a k
     pet :D
     spojrzec na to zdjecie :D
     bu resmi bakmak :D
     katso t
      kuvaa :D
     uita-te la aceasta fotografie :D
     pozrite sa na t
     to fotografiu :D
     titta p
      denna bild :D
     poglej to fotografijo :D
     pogledaj to slike :D
     seen this?? :D

Le URL se rapporte alors à une copie du malware décrit. Si l'utilisateur télécharge et exécute ce fichier le procédé d'infection commencera encore.

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: u.mai**********.com
Port: 81
Canal: #newbin#
Pseudonyme: n[USA|XP]%nombre%

 Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Description insérée par Petre Galan le lundi 9 août 2010
Description mise à jour par Petre Galan le jeudi 12 août 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.