Nome del virus:BDS/IRCBot.NB.1
Scoperto:25/01/2006
Tipo:Backdoor Server
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:51.225 Byte
Somma di controllo MD5:3236fe1cfdf7f4ad1ee178181e2bddb2
Versione VDF:6.33.00.155

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  TrendMicro: BKDR_IRCBOT.DT
   •  Bitdefender: Backdoor.IRCBot.NB


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\drivers\winlogon.exe

 Registro Viene cambiata la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "Shell"="Explorer.exe"
   Nuovo valore:
   • "Shell"="Explorer.exe %SYSDIR%\drivers\winlogon.exe"

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: irc.i1**********
Porta: 6667
Canale: #pyro6
Nickname: %nome del computer%[%stringa casuale di sette caratteri%]



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Immagine “catturata” dallo schermo
    • Velocità della CPU
    • Spazio libero su disco
    • Memoria libera
    • Uptime del malware
    • Informazioni sui processi in corso
    • Dimensione della memoria
    • Nome Utente
    • Directory di Windows
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • Lanciare un attacco DdoS ICMP
    • Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS TCP
    • Lancia un attacco DdoS UDP
    • disconnettere dal server IRC
    • Download di file
    • Eseguire file
    • Connettersi al canale IRC
    • Terminare il processo
    • Abbandonare il canale IRC
    • Aprire condivisione remota
    • Eseguire un attacco DdoS
    • Registrare un servizio
    • Arrestare il sistema

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • explorer.exe

   Se il malware fallisce prosegue la sua esecuzione come processo.

 Varie Stringa:
In più contiene la seguente stringa:
   • IRCBot (v.0.1a) (C) KEZ <kez@antichat.ru> (Respect to 777)

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Daniel Constantin su venerdì 10 febbraio 2006
Descrizione aggiornata da Daniel Constantin su lunedì 13 febbraio 2006

Indietro . . . .