Nume:Worm/IrcBot.39424.10
Descoperit pe data de:16/08/2007
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:50.937 Bytes
MD5:2863ba796aae0F51f400cbcba8d1cd4b
Versiune VDF:6.39.01.10 - giovedì 16 agosto 2007
Versiune IVDF:6.39.01.10 - giovedì 16 agosto 2007

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.acp
   •  Sophos: W32/IRCBot-XK
   •  Bitdefender: Backdoor.Rbot.XBN


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\NSecurity.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Network Security"="%SYSDIR%\NSecurity.exe"



Urmatoarele chei din registri sunt modificate:

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Noua valoare:
   • "restrictanonymous"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Ole]
   Noua valoare:
   • "EnableDCOM"="N"

 Reţea Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS06-040 (Vulnerability in Server Service)

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: **********.bihsecurity.com
Port: 2345
Parola serverului: lamshajze123
Canal: #!lam!
Nick: NT51|%sir de 8 caractere aleatoare%
Parola: lamfuck



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre procesele sistemului


– In plus, poate efectua urmatoarele operatii:
    • descarcare fisier
    • executarea unui fisier
    • intrare pe canal IRC
    • terminare proces
    • parasire canal IRC
    • Porneste rutina de raspandire

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • rxDecCode.Rizzo_1

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Ernest Szocs su giovedì 8 novembre 2007
Descrizione aggiornata da Ernest Szocs su giovedì 8 novembre 2007

Indietro . . . .