Nome del virus:TR/IRC.Ryknos.A
Scoperto:10/11/2005
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:10.240 Byte
Somma di controllo MD5:ebe94809b68675feddfe2a2fa889f243
Versione VDF:6.32.00.168

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione
   •  Mcafee: W32/Brepibot
   •  Kaspersky: Backdoor.Win32.Breplibot.b
   •  Sophos: Troj/Stinx-E


Piattaforme / Sistemi operativi:
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\$sys$drv.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Viene aggiunta la seguente chiave di registro:

– [HKCU\WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj]
   • "$sys$drv"="$sys$drv.exe"

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: 24.**********.45
Porta: 8080
Canale: #sony
Nickname: [%molte cifre casuali%-%sistema operativo%]%stringa di caratteri casuale%

Server: 35.**********.93
Porta: 8080
Canale: #sony
Nickname: [%molte cifre casuali%-%sistema operativo%]%stringa di caratteri casuale%

Server: 67.**********.190
Porta: 8080
Canale: #sony
Nickname: [%molte cifre casuali%-%sistema operativo%]%stringa di caratteri casuale%

Server: 68.**********.76
Porta: 8080
Canale: #sony
Nickname: [%molte cifre casuali%-%sistema operativo%]%stringa di caratteri casuale%

Server: 152.**********.186
Porta: 8080
Canale: #sony
Nickname: [%molte cifre casuali%-%sistema operativo%]%stringa di caratteri casuale%


– In più ha la capacità di eseguire la seguente azione:
    • Download di file

 Varie Mutex:
Crea il seguente Mutex:
   • $sys$drv.exe

 Tecnologia Rootkit È una tecnologia specifica del malware. Il malware si nasconde dalle utilità di sistema, dalle applicazioni di sicurezza e, alla fine, dall'utente.


Nasconde il seguente:
– Il proprio file


Metodo utilizzato:
    • Utilizza rootkit che vengono attivati all'atto dell'installazione di software Sony audio CD

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ivanes su giovedì 10 novembre 2005
Descrizione aggiornata da Andrei Ivanes su lunedì 14 novembre 2005

Indietro . . . .