Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:BDS/IRCBot.EZ
Scoperto:26/07/2010
Tipo:Backdoor Server
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:199.680 Byte
Somma di controllo MD5:05dab5cd42e49c937cb6da56910c4748
Versione IVDF:7.10.09.196 - lunedì 26 luglio 2010

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica


Alias:
   •  Panda: W32/IrcBot.CYL.worm
   •  Eset: Win32/AutoRun.Agent.WW


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %HOME%\Application Data\svchost.exe
   • %unità disco%\ProductInstall\Install.exe



Viene creato il seguente file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%




Prova ad eseguire i seguenti file:

– Nome del file:
   • "%HOME%\Application Data\svchost.exe" [NEW]


– Nome del file:
   • %HOME%\Application Data\svchost.exe

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Services"="%HOME%\Application Data\svchost.exe"

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: isurfthenet.dyn**********.info
Porta: 4598
Canale: #three
Nickname: [USA]%numero%

 Varie Mutex:
Crea il seguente Mutex:
   • CEOFENES

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su lunedì 8 novembre 2010
Descrizione aggiornata da Petre Galan su giovedì 11 novembre 2010

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.