Nome del virus:Worm/IrcBot.229376.1
Scoperto:04/07/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:229.376 Byte
Somma di controllo MD5:2a560ce28707e8ddfc35ec539df1932d
Versione IVDF:6.35.00.115 - martedì 4 luglio 2006

 Generale Metodo di propagazione:
   • Messenger


Alias:
   •  Sophos: Mal/VBInject-T
   •  Bitdefender: Trojan.Generic.KD.12598
   •  Eset: Win32/Boberog.AQ


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Abbassa le impostazioni di sicurezza
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %HOME%\Application Data\msng.exe



Viene creato il seguente file:

%SYSDIR%\winsvncs.txt



Prova ad eseguire il seguente file:

– Nome del file:
   • "%HOME%\Application Data\msng.exe"

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows System Guard"="%HOME%\Application Data\msng.exe"



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%HOME%\Application Data\msng.exe"="%HOME%\Application
      Data\msng.exe:*:Enabled:Windows System Guard"

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– AIM Messenger
– Yahoo Messenger


Messaggio
Il messaggio inviato sarà tipo uno dei seguenti:

   • olhar para esta foto :D
     se p
      dette bildet :D
     bekijk deze foto :D
     schau mal das foto an :D
     look at this picture :D
     mira esta fotograf
     a :D
     regardez cette photo :D
     guardare quest'immagine :D
     pod
     vejte se na mou fotku :D
     ser p
      dette billede :D
     zd meg a k
     pet :D
     spojrzec na to zdjecie :D
     bu resmi bakmak :D
     katso t
      kuvaa :D
     uita-te la aceasta fotografie :D
     pozrite sa na t
     to fotografiu :D
     titta p
      denna bild :D
     poglej to fotografijo :D
     pogledaj to slike :D
     seen this?? :D

L'URL si riferisce così a una copia del malware descritto. Se l'utente scarica ed esegue questo file, il processo virale ricomincia di nuovo.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: u.mai**********.com
Porta: 81
Canale: #newbin#
Nickname: n[USA|XP]%numero%

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.

Descrizione inserita da Petre Galan su lunedì 9 agosto 2010
Descrizione aggiornata da Petre Galan su giovedì 12 agosto 2010

Indietro . . . .