Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:WORM/Dorkbot.K.1
La date de la découverte:17/08/2011
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:114.688 Octets
Somme de contrôle MD5:74512C8219F3AED6C59E1187AA25E57A
Version VDF:7.11.13.117 - mercredi 17 août 2011
Version IVDF:7.11.13.117 - mercredi 17 août 2011

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique
   • Email
   • Programme de messagerie


Les alias:
   •  Kaspersky: Trojan.Win32.VBKrypt.cxzz
   •  TrendMicro: TROJ_DLOADR.GHES
   •  Microsoft: Trojan:Win32/Ircbrute
   •  AhnLab: Trojan/Win32.Menti


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il facilite l'accès non autorisé à l'ordinateur
   • Il bloque l'accès aux sites web de sécurité
   • Il crée des fichiers
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %APPDATA%\%chaîne de caractères aléatoire%.exe



Il supprime sa propre copie, exécutée initialement

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%chaîne de caractères aléatoire%"="%APPDATA%\%chaîne de caractères aléatoire%.exe"

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– Windows Live Messenger
– Yahoo Messenger

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: **********smynew.info
Port: 1863
Pseudonyme: %chaîne de caractères aléatoire%



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Utilisateur courant
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • se connecter au serveur IRC
    • Lancer des attaques DDoS SYN
    • Lance des attaques DDoS UDP
    • se déconnecter du serveur IRC
    • Télécharger un fichier
    • Joindre le canal IRC
    • Quitter la canal IRC
    • Opérer un attaque DDoS
    • Redémarrer le système
    • Démarrer une routine de propagation

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'

– Une routine de journalisation est commencée après qu'un site web soit visité, qui contient une des sous chaînes de caractères suivantes dans l'URL.
   • .moneybookers.; 1and1.com; 4shared.com; alertpay.com; aol.;
      bcointernacional; bigstring.; depositfiles.; dotster.com; dyndns;
      enom.com; facebook.; fastmail.; fileserv.com; filesonic.com;
      freakshare.com; gmx.; godaddy.com; google.; hackforums.; hotfile.com;
      letitbit.net; login.live.; login.yahoo.; mediafire.com; megaupload.;
      members*.iknowthatgirl; members.brazzers.com; moniker.com;
      namecheap.com; netflix.com; netload.in; no-ip; officebanking.cl;
      oron.com; paypal.; runescape; screenname.aol.; secure.logmein.;
      sendspace.com; signin.ebay; sms4file.com; speedyshare.com;
      steampowered; thepiratebay.org; torrentleech.org; twitter.com;
      uploaded.to; uploading.com; vip-file.com; webnames.ru; what.cd; whcms;
      youporn.

– Il capture:
    • Information du compte

 L'injection du code viral dans d'autres processus – Il s'injecte dans les processus en tant que fil distant.

    Tous les processus suivants:
   • alg.exe; chrome.exe; csrss.exe; explorer.exe; firefox.exe; flock.exe;
      ieuser.exe; iexplore.exe; msmsgs.exe; msnmsgr.exe; opera.exe;
      pidgin.exe; services.exe; smss.exe; spoolsv.exe; svchost.exe;
      winlogon.exe; wlcomm.exe; wuauclt.exe; %processus aléatoire%



But:
L'accès aux sites Web suivants est efficacement bloqué :
   • *avast.*; *avira.*; *bitdefender.*; *bullguard.*; *clamav.*;
      *comodo.*; *emsisoft.*; *eset.*; *f-secure.*; *fortinet.*;
      *garyshood.*; *gdatasoftware.*; *heck.tc*; *iseclab.*; *jotti.*;
      *kaspersky.*; *lavasoft.*; *malwarebytes.*; *mcafee.*; *norman.*;
      *norton.*; *novirusthanks.*; *onecare.live.*; *onlinemalwarescanner.*;
      *pandasecurity.*; *precisesecurity.*; *sophos.*; *sunbeltsoftware.*;
      *symantec*; *threatexpert.*; *trendmicro.*; *virscan.*; *virus.*;
      *virusbuster.nprotect.*; *viruschief.*; *virustotal.*; *webroot.*


 Informations divers Accède à des ressources Internet :
   • api.wipmania.com

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Description insérée par Andrei Ilie le mercredi 19 octobre 2011
Description mise à jour par Andrei Ilie le jeudi 20 octobre 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.