Worm/IRCBot.38400 - Worm

A voir aussi

Brève description

Description complète

Statistiques

Nom:	Worm/IRCBot.38400
La date de la découverte:	01/03/2006
Type:	Ver
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Moyen à élevé
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	38.400 Octets
Somme de contrôle MD5:	95965ebb920D87dac65880ac9af846c2
Version VDF:	6.33.01.41
Version IVDF:	6.33.01.42

Général Méthode de propagation:
   • Le réseau local

Les alias:
   • Kaspersky: Backdoor.Win32.IRCBot.pd
   • TrendMicro: WORM_TIRBOT.G
   • Sophos: Troj/IRCBot-PD
   • Bitdefender: Backdoor.TirBot.F

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il crée un fichier
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
• %SYSDIR%\MSDTCs.exe

Le fichier suivant est créé:

– Fichier inoffensif:
• %WINDIR%\msi486.dll

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• IECheck="%SYSDIR%\MSDTCs.exe"

Infection du réseau La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS04-011 (LSASS Vulnerability)

La création des adresses IP:
Il crée des adresses IP aléatoires et il essaye d'établir une connexion avec elles.

IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: r3v3ng3.**********
Port: 6667
Canal: r1sUn10n

Serveur: r3v3ng3.**********
Port: 6667
Canal: r1sUn10n

Serveur: mast4.**********
Port: 6667
Canal: r1sUn10n

Serveur: squ4r3s.**********
Port: 6667
Canal: r1sUn10n

– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Détails sur les pilots
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur des processus courants
    • Taille de mémoire
    • Nom d'utilisateur
    • Répertoire de Windows
    • Information sur le système d'exploitation Windows

– Ensuite il a la capacité d'opérer des actions tel que:
    • Lance des attaques DDoS UDP
    • Télécharger un fichier
    • Éditer le registre
    • Exécuter un fichier
    • Finir le processus
    • Opérer un attaque DDoS
    • Démarrer une routine de propagation
    • Terminer le Malware
    • Terminer un processus
    • Se mettre à jour tout seul
    • Charger un fichier

Informations divers Mutex:
Il crée le Mutex suivant:
• 1nUr4ssH0l3

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Voir la description brève ici.

Description inséré par Ernest Szocs sur Wed, 03 Oct 2007 10:47 (GMT+1)
Description mise à jour par Ernest Szocs sur Thu, 04 Oct 2007 12:33 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour