Nome del virus:Worm/IrcBot.mob
Scoperto:15/06/2010
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:106.497 Byte
Somma di controllo MD5:2f62dbeb5c53122d70f144f66b0d129e
Versione IVDF:7.10.08.89 - martedì 15 giugno 2010

 Generale Alias:
   •  Sophos: Mal/VBInject-D
   •  Bitdefender: Trojan.Generic.4023153
   •  Panda: W32/P2PWorm.MI


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %TEMPDIR%\Winlogen.exe



Viene creato il seguente file:

%TEMPDIR%\google_cache11113.tmp



Prova ad eseguire i seguenti file:

– Nome del file:
   • "%TEMPDIR%\Winlogen.exe"


– Nome del file:
   • %TEMPDIR%\Winlogen.exe

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Firewall"="%TEMPDIR%\Winlogen.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Firewall"="%TEMPDIR%\Winlogen.exe"

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: swv2.bot**********.info
Porta: 3211
Canale: #sWv2#
Nickname: {NEW}[USA][XP-SP3]%numero%

Server: swv2.psy**********.cz
Porta: 3211
Canale: #sWv2#
Nickname: {NEW}[USA][XP-SP3]%numero%

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su mercoledì 25 agosto 2010
Descrizione aggiornata da Petre Galan su mercoledì 25 agosto 2010

Indietro . . . .