Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:WORM/IrcBot.56832.4
La date de la dcouverte:15/11/2010
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:56.832 Octets
Somme de contrle MD5:400ab8f23844227443cc309c472844dd
Version VDF:7.10.06.91
Version IVDF:7.10.13.241 - lundi 15 novembre 2010

 Gnral Mthode de propagation:
    Programme de messagerie


Les alias:
   •  Mcafee: W32/YahLover.worm
   •  Kaspersky: Backdoor.Win32.IRCBot.rbe
   •  TrendMicro: WORM_SLENFBOT.DA
   •  F-Secure: Backdoor.Bot.131406
   •  Sophos: Mal/PushBot-A
   •  Bitdefender: Backdoor.Bot.131406


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effets secondaires:
   • Il cre des fichiers
   • Il diminue les rglages de scurit
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\nvsvc32.exe

 Registre On ajoute une valeur chaque cl de registre afin de lancer les processus aprs le redmarrage:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"



Les cls de registre suivantes sont ajoute:

[HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Start Page"="http://googleure.com"

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%le dossier d'excution du malware%\%le fichier excut%"="%WINDIR%\nvsvc32.exe:*:Enabled:NVIDIA driver monitor"

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%le dossier d'excution du malware%\%le fichier excut%"="%WINDIR%\nvsvc32.exe:*:Enabled:NVIDIA driver monitor"



La cl de registre suivante est change:

[HKLM\SYSTEM\ControlSet001\Services\wuauserv]
   L'ancienne valeur:
   • "Start"=dword:00000002
   La nouvelle valeur:
   • "Start"=dword:00000004

 Programme de messagerie Il se rpand par l'intermdiaire du programme de messagerie. Les caractristiques sont dcrites ci-dessous:

 Yahoo Messenger


Message
Le message envoy ressemble un des suivants:

   • You have only 3 minutes to fill out the selected survey
or you will not have access to your account.
     You have only 3 minutes to fill out the selected survey
or you will be banned from this site.
     

 IRC  Ensuite il a la capacit d'oprer des actions tel que:
    • Joindre le canal IRC
    • Quitter la canal IRC

 Vol d'informations  Une routine de journalisation est commence aprs qu'un site web soit visit, qui contient une des sous chanes de caractres suivantes dans l'URL.
   • myspace.com
   • facebook.com

 Informations divers  Il vrifie l'existence d'une connexion Internet en contactant les sites web suivants:
   • albertoshistory.info; ale.pakibili.com; astro.ic.ac.uk;
      ate.lacoctelera.net; beta.neogen.ro; browseusers.myspace.com;
      crl.microsoft.com; deirdremccloskey.org; ds.phoenix-cc.net;
      epp.gunmablog.jp; erdbeerlounge.de; goodreads.com; heidegger.x-y.net;
      hrm.uh.edu; insidehighered.com; jb.asm.org; journalofaccountancy.com;
      journals.lww.com; mas.0730ip.com; mas.ahlamontada.com;
      mas.archivum.info; mas.josbank.com; mas.juegosbakugan.net;
      mas.mtime.com; mas.tguia.cl; mas.univie.ac.at; mcsp.lvengine.com;
      middleastpost.org; mix.price-erotske.in.rs; mix.thenaturistclub.com;
      mmm.bolbalatrust.org; old.longjuyt2tugas.com; old.youku.com;
      ols.systemofadown.com; ope.oaklandathletics.com; opl.munin.irf.se;
      pra.aps.org; pru.landmines.org; qun.51.com; refugee-action.org.uk;
      screenservice.com; scribbidyscrubs.com; shopstyle.com;
      southampton.ac.uk; stayontime.info; summer-uni-sw.eesp.ch;
      transnationale.org; tripadvisor.com; uks.linkedin.com; unclefed.com;
      versatek.com; websitetrafficspy.com; www.myspace.com;
      www.shearman.com; x.myspacecdn.com; xxx.jagdcom.de; xxx.stopklatka.pl

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Andrei Ilie le mercredi 23 mars 2011
Description mise à jour par Andrei Ilie le vendredi 1 avril 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.