Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Dorkbot.A.393
La date de la dcouverte:20/07/2011
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:200.704 Octets
Somme de contrle MD5:7AA23F1725FCA935DBE3D7B55F4AEF40
Version VDF:7.11.12.21 - mercredi 20 juillet 2011
Version IVDF:7.11.12.21 - mercredi 20 juillet 2011

 Gnral Mthode de propagation:
    Fonctionnalit d'excution automatique
   • Email
    Programme de messagerie


Les alias:
   •  TrendMicro: WORM_DORKBOT.N
   •  Sophos: Troj/DorkBot-I
     Microsoft: Worm:Win32/Dorkbot.A


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effets secondaires:
   • Il facilite l'accs non autoris l'ordinateur
   • Il bloque l'accs aux sites web de scurit
   • Il cre des fichiers
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %APPDATA%\%chane de caractres alatoire%.exe



Il supprime sa propre copie, excute initialement

 Registre On ajoute une des valeurs suivantes afin de lancer le processus aprs le redmarrage:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%chane de caractres alatoire%"="%APPDATA%\%chane de caractres alatoire%.exe"

 Programme de messagerie Il se rpand par l'intermdiaire du programme de messagerie. Les caractristiques sont dcrites ci-dessous:

Windows Live Messenger
 Yahoo Messenger

 IRC Afin de fournir des informations sur le systme et d'accs distance, il se connecte aux serveurs IRC suivants:

Serveur: **********therebitch.com
Port: %nombre%
Le mot de passe du serveur: ngrBot
Canal: #boss
Pseudonyme: %chane de caractres alatoire%
Mot de passe: ngrBot

Serveur: **********hmoney.biz
Port: %nombre%
Le mot de passe du serveur: ngrBot
Canal: #boss
Pseudonyme: %chane de caractres alatoire%
Mot de passe: ngrBot

Serveur: **********llypussy.info
Port: %nombre%
Le mot de passe du serveur: ngrBot
Canal: #boss
Pseudonyme: %chane de caractres alatoire%
Mot de passe: ngrBot



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Utilisateur courant
    • Nom d'utilisateur
    • Information sur le systme d'exploitation Windows


 Ensuite il a la capacit d'oprer des actions tel que:
     se connecter au serveur IRC
     Lancer des attaques DDoS SYN
     Lance des attaques DDoS UDP
     se dconnecter du serveur IRC
    • Tlcharger un fichier
    • Joindre le canal IRC
    • Quitter la canal IRC
    • Oprer un attaque DDoS
    • Redmarrer le systme
     Dmarrer une routine de propagation

 Vol d'informations Il essaie de voler l'information suivante:
 Les mots de passe tap dans les champs 'insrer le mot de passe'

Une routine de journalisation est commence aprs qu'un site web soit visit, qui contient une des sous chanes de caractres suivantes dans l'URL.
   • .moneybookers.; 1and1.com; 4shared.com; alertpay.com; aol.;
      bcointernacional; bigstring.; depositfiles.; dotster.com; dyndns;
      enom.com; facebook.; fastmail.; fileserv.com; filesonic.com;
      freakshare.com; gmx.; godaddy.com; google.; hackforums.; hotfile.com;
      letitbit.net; login.live.; login.yahoo.; mediafire.com; megaupload.;
      members*.iknowthatgirl; members.brazzers.com; moniker.com;
      namecheap.com; netflix.com; netload.in; no-ip; officebanking.cl;
      oron.com; paypal.; runescape; screenname.aol.; secure.logmein.;
      sendspace.com; signin.ebay; sms4file.com; speedyshare.com;
      steampowered; thepiratebay.org; torrentleech.org; twitter.com;
      uploaded.to; uploading.com; vip-file.com; webnames.ru; what.cd; whcms;
      youporn.

 Il capture:
     Information du compte

 L'injection du code viral dans d'autres processus  Il s'injecte dans les processus en tant que fil distant.

    Tous les processus suivants:
   • alg.exe; chrome.exe; csrss.exe; explorer.exe; firefox.exe; flock.exe;
      ieuser.exe; iexplore.exe; msmsgs.exe; msnmsgr.exe; opera.exe;
      pidgin.exe; services.exe; smss.exe; spoolsv.exe; svchost.exe;
      winlogon.exe; wlcomm.exe; wuauclt.exe; %processus alatoire%



But:
L'accs aux sites Web suivants est efficacement bloqu :
   • *avast.*; *avira.*; *bitdefender.*; *bullguard.*; *clamav.*;
      *comodo.*; *emsisoft.*; *eset.*; *f-secure.*; *fortinet.*;
      *garyshood.*; *gdatasoftware.*; *heck.tc*; *iseclab.*; *jotti.*;
      *kaspersky.*; *lavasoft.*; *malwarebytes.*; *mcafee.*; *norman.*;
      *norton.*; *novirusthanks.*; *onecare.live.*; *onlinemalwarescanner.*;
      *pandasecurity.*; *precisesecurity.*; *sophos.*; *sunbeltsoftware.*;
      *symantec*; *threatexpert.*; *trendmicro.*; *virscan.*; *virus.*;
      *virusbuster.nprotect.*; *viruschief.*; *virustotal.*; *webroot.*


 Informations divers Accde des ressources Internet:
   • api.wipmania.com


Mutex:
Il cre le Mutex suivant:
   • FvLQ49IlzIyLjj6m

Description insérée par Andrei Ilie le vendredi 19 août 2011
Description mise à jour par Andrei Ilie le lundi 22 août 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.