Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/IRCBot.38400
Scoperto:01/03/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:38.400 Byte
Somma di controllo MD5:95965ebb920D87dac65880ac9af846c2
Versione VDF:6.33.01.41
Versione IVDF:6.33.01.42 - mercoledì 1 marzo 2006

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.pd
   •  TrendMicro: WORM_TIRBOT.G
   •  Sophos: Troj/IRCBot-PD
   •  Bitdefender: Backdoor.TirBot.F


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica un file
   • Modifica del registro
   • Sfrutta la vulnerabilità del software
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\MSDTCs.exe



Viene creato il seguente file:

– File “non maligno”:
   • %WINDIR%\msi486.dll

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • IECheck="%SYSDIR%\MSDTCs.exe"

 “Infezione” della rete Exploit:
Sfrutta la seguente vulnerabilità:
– MS04-011 (LSASS Vulnerability)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali e prova a stabilire una connessione.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: r3v3ng3.**********
Porta: 6667
Canale: r1sUn10n

Server: r3v3ng3.**********
Porta: 6667
Canale: r1sUn10n

Server: mast4.**********
Porta: 6667
Canale: r1sUn10n

Server: squ4r3s.**********
Porta: 6667
Canale: r1sUn10n



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Velocità della CPU
    • Utente corrente
    • Dettagli sui driver
    • Spazio libero su disco
    • Memoria libera
    • Uptime del malware
    • Informazioni sui processi in corso
    • Dimensione della memoria
    • Nome Utente
    • Directory di Windows
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • Lancia un attacco DdoS UDP
    • Download di file
    • Modificare il registro
    • Eseguire file
    • Terminare il processo
    • Eseguire un attacco DdoS
    • Iniziare procedura di diffusione
    • Terminare il malware
    • Terminare il processo
    • Aggiornarsi
    • Carica un file

 Varie Mutex:
Crea il seguente Mutex:
   • 1nUr4ssH0l3

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Ernest Szocs su mercoledì 3 ottobre 2007
Descrizione aggiornata da Ernest Szocs su giovedì 4 ottobre 2007

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.