Nome del virus:TR/IRCBot.MX
Scoperto:20/01/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:196.608 Byte
Somma di controllo MD5:1a8676220F19f1b0052dc59fac6ad94f
Versione VDF:6.33.00.144

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.mx
   •  TrendMicro: BKDR_IRCBOT.DU
   •  Bitdefender: Backdoor.IRCBot.MX

Precedentemente individuato come:
   •  Worm/IRCBot.MX


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\SysCfg.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SysCfg" = "%SYSDIR%\SysCfg.exe"



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "kl" = dword:00000000
   • "keep1" = dword:00000000
   • "keepnick1" = "r"
   • "name1" = "Realname"
   • "user1" = "user"
   • "nick1" = "Nick%stringa casuale di due caratteri%"
   • "port1" = "6667"
   • "server1" = %server IRC%

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: irc.lub**********
Porta: 6667
Canale: #chimera
Nickname: Nick%stringa casuale di due caratteri%
Password: software

Server: open.pl.irc**********
Porta: 6667
Canale: #chimera
Nickname: Nick%stringa casuale di due caratteri%
Password: software

Server: poznan.i**********
Porta: 6667
Canale: #chimera
Nickname: Nick%stringa casuale di due caratteri%
Password: software

Server: warszawa**********
Porta: 6667
Canale: #chimera
Nickname: Nick%stringa casuale di due caratteri%
Password: software


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • disconnettere dal server IRC
    • Download di file
    • Eseguire file
    • Connettersi al canale IRC
    • Abbandonare il canale IRC
    • Eseguire un attacco DdoS
    • Inviare email
    • Inizia keylog
    • Aggiornarsi

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Daniel Constantin su mercoledì 8 febbraio 2006
Descrizione aggiornata da Andrei Ivanes su mercoledì 15 febbraio 2006

Indietro . . . .