Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/IRCBot.DL.105
La date de la dcouverte:15/05/2011
Type:Serveur porte drobe
En circulation:Non
Infections signales Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:197.280 Octets
Somme de contrle MD5:4A1376AE66413095000D5DD3544C4128
Version VDF:7.11.08.22 - dimanche 15 mai 2011
Version IVDF:7.11.08.22 - dimanche 15 mai 2011

 Gnral Mthode de propagation:
    Fonctionnalit d'excution automatique


Les alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.bwjw
   •  Sophos: Troj/Bckdr-RIR
     Microsoft: Backdoor:Win32/IRCbot.DL
     GData: Worm.Generic.317684
     DrWeb: Trojan.DownLoader2.39345


Plateformes / Systmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre des fichiers malveillants
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %APPDATA%\Microsoft\%chane de caractres alatoire%.exe

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%chane de caractres alatoire%.exe"="%APPDATA%\Microsoft\%chane de caractres alatoire%.exe"

 IRC Afin de fournir des informations sur le systme et un accs distance, il se connecte au serveur IRC suivant:

Serveur: **********ney.no-ip.info
Port: 3074
Pseudonyme: %chane de caractres alatoire%



 Ce Malware a la capacit de ramasser et d'envoyer des informations tel que:
    • Nom d'utilisateur
    • Information sur le systme d'exploitation Windows


 Ensuite il a la capacit d'oprer des actions tel que:
     se connecter au serveur IRC
     se dconnecter du serveur IRC
    • Joindre le canal IRC
    • Quitter la canal IRC

 Porte drobe Le port suivant est ouvert:

svchost.exe sur le port UDP 1900 afin de fournir de capacits de porte drobe

 Vol d'informations  Les mots de passe employs par la fonction AutoComplete

Les mots de passe des programmes suivants:
   • Mozilla Firefox
   • Internet Explorer

 L'injection du code viral dans d'autres processus Il s'injecte comme un nouveau fil d'excution distance dans un processus.

    Nom du processus :
   • svchost.exe


 Informations divers Mutex:
Il cre le Mutex suivant:
   • HelloDDoser

 Dtails de fichier Langage de programmation:
Le fichier a t crit en Delphi.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Andrei Ilie le mardi 18 octobre 2011
Description mise à jour par Andrei Ilie le mercredi 19 octobre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.