Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/IRCBot.DL.105
La date de la découverte:15/05/2011
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:197.280 Octets
Somme de contrôle MD5:4A1376AE66413095000D5DD3544C4128
Version VDF:7.11.08.22 - dimanche 15 mai 2011
Version IVDF:7.11.08.22 - dimanche 15 mai 2011

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique


Les alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.bwjw
   •  Sophos: Troj/Bckdr-RIR
   •  Microsoft: Backdoor:Win32/IRCbot.DL
   •  GData: Worm.Generic.317684
   •  DrWeb: Trojan.DownLoader2.39345


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %APPDATA%\Microsoft\%chaîne de caractères aléatoire%.exe

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%chaîne de caractères aléatoire%.exe"="%APPDATA%\Microsoft\%chaîne de caractères aléatoire%.exe"

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: **********ney.no-ip.info
Port: 3074
Pseudonyme: %chaîne de caractères aléatoire%



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • se déconnecter du serveur IRC
    • Joindre le canal IRC
    • Quitter la canal IRC

 Porte dérobée Le port suivant est ouvert:

– svchost.exe sur le port UDP 1900 afin de fournir de capacités de porte dérobée

 Vol d'informations – Les mots de passe employés par la fonction AutoComplete

– Les mots de passe des programmes suivants:
   • Mozilla Firefox
   • Internet Explorer

 L'injection du code viral dans d'autres processus – Il s'injecte comme un nouveau fil d'exécution à distance dans un processus.

    Nom du processus :
   • svchost.exe


 Informations divers Mutex:
Il crée le Mutex suivant:
   • HelloDDoser

 Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Ilie le mardi 18 octobre 2011
Description mise à jour par Andrei Ilie le mercredi 19 octobre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.