Nome del virus:Worm/IRCBot.33792
Scoperto:29/09/2005
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:33.792 Byte
Somma di controllo MD5:f4d5103380b75660163bdd811759a621
Versione VDF:6.32.0.46

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Mcafee: PWS-JC
   •  TrendMicro: BKDR_IRCBOT.AT


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\%file eseguiti%.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Connectivity Tool"="%SYSDIR%\%file eseguiti%.exe"

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: **********.192.111
Porta: 6667
Canale: #aobasvi#
Nickname: %stringa casuale di nove caratteri%

Server: **********.229.178
Porta: 6667
Canale: #aobasvi#
Nickname: %stringa casuale di nove caratteri%


– In più ha la capacità di effettuare azioni quali:
    • Download di file
    • Modificare il registro
    • Eseguire file
    • Connettersi al canale IRC
    • Terminare il processo
    • Abbandonare il canale IRC
    • Aprire condivisione remota
    • Registrare un servizio
    • Inviare email
    • Terminare il processo

 Varie Mutex:
Crea il seguente Mutex:
   • Connectivity Tool

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Catalin Jora su giovedì 29 settembre 2005
Descrizione aggiornata da Catalin Jora su martedì 4 ottobre 2005

Indietro . . . .