Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Dorkbot.A.383
La date de la découverte:20/07/2011
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Taille du fichier:212.992 Octets
Somme de contrôle MD5:99829944E1E20A459D50FF5160031BD2
Version VDF:7.11.12.21 - mercredi 20 juillet 2011
Version IVDF:7.11.12.21 - mercredi 20 juillet 2011

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique
   • Email
   • Programme de messagerie


Les alias:
   •  Mcafee: W32/Autorun.worm.h
   •  Kaspersky: Worm.Win32.AutoRun.cjyc
   •  TrendMicro: Worm:Win32/Dorkbot.A


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il facilite l'accès non autorisé à l'ordinateur
   • Il bloque l'accès aux sites web de sécurité
   • Il crée des fichiers
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %APPDATA%\%chaîne de caractères aléatoire%.exe



Il supprime sa propre copie, exécutée initialement

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%chaîne de caractères aléatoire%"="%APPDATA%\%chaîne de caractères aléatoire%.exe"

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– Yahoo Messenger

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: 67.215.77.**********
Port: 49287

Serveur: 67.215.65.**********
Port: 49287



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Utilisateur courant
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • se déconnecter du serveur IRC
    • Télécharger un fichier
    • Joindre le canal IRC
    • Quitter la canal IRC

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'

 L'injection du code viral dans d'autres processus – Il s'injecte dans les processus en tant que fil distant.

    Tous les processus suivants:
   • chrome.exe
   • firefox.exe
   • flock.exe
   • ieuser.exe
   • iexplore.exe
   • msmsgs.exe
   • msnmsgr.exe
   • opera.exe
   • pidgin.exe
   • wlcomm.exe



But:
L'accès aux sites Web suivants est efficacement bloqué :
   • *avast.*; *avira.*; *bitdefender.*; *bullguard.*; *clamav.*;
      *comodo.*; *emsisoft.*; *eset.*; *f-secure.*; *fortinet.*;
      *garyshood.*; *gdatasoftware.*; *heck.tc*; *iseclab.*; *jotti.*;
      *kaspersky.*; *lavasoft.*; *malwarebytes.*; *mcafee.*; *norman.*;
      *norton.*; *novirusthanks.*; *onecare.live.*; *onlinemalwarescanner.*;
      *pandasecurity.*; *precisesecurity.*; *sophos.*; *sunbeltsoftware.*;
      *symantec*; *threatexpert.*; *trendmicro.*; *virscan.*; *virus.*;
      *virusbuster.nprotect.*; *viruschief.*; *virustotal.*; *webroot.*


 Informations divers Accède à des ressources Internet :
   • api.wipmania.com

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Description insérée par Andrei Ilie le lundi 1 août 2011
Description mise à jour par Andrei Ilie le mercredi 3 août 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.