Nom:Worm/Dorkbot.A.389
La date de la découverte:20/07/2011
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:183.296 Octets
Somme de contrôle MD5:5A5736CF1F6A92026494B434EFE548A2
Version VDF:7.11.12.21 - mercredi 20 juillet 2011
Version IVDF:7.11.12.21 - mercredi 20 juillet 2011

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique
   • Email
   • Programme de messagerie


Les alias:
   •  TrendMicro: TROJ_SPNR.0CFL11
   •  Sophos: Troj/DorkBot-I
   •  Microsoft: Worm:Win32/Dorkbot


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il facilite l'accès non autorisé à l'ordinateur
   • Il bloque l'accès aux sites web de sécurité
   • Il crée des fichiers
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %APPDATA%\%chaîne de caractères aléatoire%.exe



Il supprime sa propre copie, exécutée initialement

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%chaîne de caractères aléatoire%"="%APPDATA%\%chaîne de caractères aléatoire%.exe"

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– Windows Live Messenger
– Yahoo Messenger

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: **********coachloan.com
Port: 3801
Le mot de passe du serveur: hax0r
Pseudonyme: %chaîne de caractères aléatoire%

Serveur: **********grasshopperz11.com
Port: 3801
Le mot de passe du serveur: hax0r
Pseudonyme: %chaîne de caractères aléatoire%

Serveur: **********lighthousez11.com
Port: 3801
Le mot de passe du serveur: hax0r
Pseudonyme: %chaîne de caractères aléatoire%

Serveur: **********marketallone.com
Port: 3801
Le mot de passe du serveur: hax0r
Pseudonyme: %chaîne de caractères aléatoire%

Serveur: **********themarketbaby.com
Port: 3801
Le mot de passe du serveur: hax0r
Pseudonyme: %chaîne de caractères aléatoire%



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Utilisateur courant
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • se déconnecter du serveur IRC
    • Télécharger un fichier
    • Joindre le canal IRC
    • Quitter la canal IRC
    • Opérer un attaque DDoS
    • Redémarrer le système
    • Démarrer une routine de propagation

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'

– Une routine de journalisation est commencée après qu'un site web soit visité, qui contient une des sous chaînes de caractères suivantes dans l'URL.
   • .moneybookers.; 1and1.com; 4shared.com; alertpay.com; aol.;
      bcointernacional; bigstring.; depositfiles.; dotster.com; dyndns;
      enom.com; facebook.; fastmail.; fileserv.com; filesonic.com;
      freakshare.com; gmx.; godaddy.com; google.; hackforums.; hotfile.com;
      letitbit.net; login.live.; login.yahoo.; mediafire.com; megaupload.;
      members*.iknowthatgirl; members.brazzers.com; moniker.com;
      namecheap.com; netflix.com; netload.in; no-ip; officebanking.cl;
      oron.com; paypal.; runescape; screenname.aol.; secure.logmein.;
      sendspace.com; signin.ebay; sms4file.com; speedyshare.com;
      steampowered; thepiratebay.org; torrentleech.org; twitter.com;
      uploaded.to; uploading.com; vip-file.com; webnames.ru; what.cd; whcms;
      youporn.

– Il capture:
    • Information du compte

 L'injection du code viral dans d'autres processus – Il s'injecte dans les processus en tant que fil distant.

    Tous les processus suivants:
   • alg.exe; chrome.exe; csrss.exe; explorer.exe; firefox.exe; flock.exe;
      ieuser.exe; iexplore.exe; msmsgs.exe; msnmsgr.exe; opera.exe;
      pidgin.exe; services.exe; smss.exe; spoolsv.exe; svchost.exe;
      winlogon.exe; wlcomm.exe; wuauclt.exe; %processus aléatoire%



But:
L'accès aux sites Web suivants est efficacement bloqué :
   • *avast.*; *avira.*; *bitdefender.*; *bullguard.*; *clamav.*;
      *comodo.*; *emsisoft.*; *eset.*; *f-secure.*; *fortinet.*;
      *garyshood.*; *gdatasoftware.*; *heck.tc*; *iseclab.*; *jotti.*;
      *kaspersky.*; *lavasoft.*; *malwarebytes.*; *mcafee.*; *norman.*;
      *norton.*; *novirusthanks.*; *onecare.live.*; *onlinemalwarescanner.*;
      *pandasecurity.*; *precisesecurity.*; *sophos.*; *sunbeltsoftware.*;
      *symantec*; *threatexpert.*; *trendmicro.*; *virscan.*; *virus.*;
      *virusbuster.nprotect.*; *viruschief.*; *virustotal.*; *webroot.*


 Informations divers Accède à des ressources Internet :
   • api.wipmania.com


Mutex:
Il crée le Mutex suivant:
   • djQPssJO4SAQzkgw

Description insérée par Andrei Ilie le vendredi 19 août 2011
Description mise à jour par Andrei Ilie le vendredi 19 août 2011

Retour . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tous droits réservés.

Mon Compte

https:// Cet écran est crypté pour votre sécurité.