Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/IrcBot.164961
Scoperto:17/02/2010
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:164.961 Byte
Somma di controllo MD5:46e08081b696370727025779742237fd
Versione IVDF:7.10.04.80 - mercoledì 17 febbraio 2010

 Generale Metodi di propagazione:
    Funzione di esecuzione automatica
   • Rete locale


Alias:
   •  Bitdefender: Backdoor.SDBot.DGFO
   •  Eset: Win32/AutoRun.Agent.RF


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Duplica file maligni
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %WINDIR%\sysdiag64.exe
   • %unit disco%\autorun.exe



Vengono creati i seguenti file:

%unit disco%\auTORUN.inf Questo un file di testo non maligno con il seguente contenuto:
   • %codice che avvia malware%

%SYSDIR%\DROPPEDFILEOK.tmp



Prova ad eseguire il seguente file:

Nome del file:
   • "%WINDIR%\sysdiag64.exe"

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "sysdiag64.exe"="%WINDIR%\sysdiag64.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "MicrosoftNAPC"="%WINDIR%\sysdiag64.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "MicrosoftCorp"="%WINDIR%\sysdiag64.exe"

–  [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW]
   • DWFileTreeRoot

 Infezione della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Exploit:
Sfrutta le seguenti vulnerabilit:
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-007 (ASN.1 Vulnerability)
 MS06-040 (Vulnerability in Server Service)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi due ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: vte**********.info
Porta: 51987
Canale: #pwn
Nickname: TsGh{USA-XP}%numero%

 Come il virus si inserisce nei processi Si inserisce come thread remoto in un processo.

    Nome del processo:
   • %casuale%


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su martedì 10 agosto 2010
Descrizione aggiornata da Petre Galan su giovedì 12 agosto 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.