Nume:Worm/IrcBot.39673.1
Descoperit pe data de:28/06/2008
Tip:Vierme
Subtip:IRCBot
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut
Fisier static:
Marime:~ 40.000 Bytes
Versiune IVDF:7.00.05.18 - sabato 28 giugno 2008

 General Metode de raspandire:
   • Messenger


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.duc
   •  Eset: a variant of Win32/Injector.BB trojan


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer


Imediat dupa lansarea in executie, pe ecran este afisat:


 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\wksvcsc.exe

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows UDP Control Services"="wksvcsc.exe"

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: **********.bihsecurity.com
Port: 1868
Parola serverului: asd
Canal: #!amt!
Nick: [00|GBR|027146]
Parola: openclub


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • descarcare fisier
    • editare registru sistem
    • intrare pe canal IRC
    • parasire canal IRC
    • Se actualizeaza singur

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Alexander Neth su martedì 1 luglio 2008
Descrizione aggiornata da Alexander Neth su martedì 1 luglio 2008

Indietro . . . .