Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:WORM/IrcBot.56832.4
Scoperto:15/11/2010
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:56.832 Byte
Somma di controllo MD5:400ab8f23844227443cc309c472844dd
Versione VDF:7.10.06.91
Versione IVDF:7.10.13.241 - lunedì 15 novembre 2010

 Generale Metodo di propagazione:
   • Messenger


Alias:
   •  Mcafee: W32/YahLover.worm
   •  Kaspersky: Backdoor.Win32.IRCBot.rbe
   •  TrendMicro: WORM_SLENFBOT.DA
   •  F-Secure: Backdoor.Bot.131406
   •  Sophos: Mal/PushBot-A
   •  Bitdefender: Backdoor.Bot.131406


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %WINDIR%\nvsvc32.exe

 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"



Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Start Page"="http://googleure.com"

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%directory di esecuzione del malware%\%file eseguiti%"="%WINDIR%\nvsvc32.exe:*:Enabled:NVIDIA driver monitor"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%directory di esecuzione del malware%\%file eseguiti%"="%WINDIR%\nvsvc32.exe:*:Enabled:NVIDIA driver monitor"



Viene cambiata la seguente chiave di registro:

– [HKLM\SYSTEM\ControlSet001\Services\wuauserv]
   Valore precedente:
   • "Start"=dword:00000002
   Nuovo valore:
   • "Start"=dword:00000004

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– Yahoo Messenger


Messaggio
Il messaggio inviato sarà tipo uno dei seguenti:

   • You have only 3 minutes to fill out the selected survey
or you will not have access to your account.
     You have only 3 minutes to fill out the selected survey
or you will be banned from this site.
     

 IRC – In più ha la capacità di effettuare azioni quali:
    • Connettersi al canale IRC
    • Abbandonare il canale IRC

 Sottrazione di informazioni – Dopo aver visitato un sito web, che nel suo URL contiene una delle seguenti sottostringhe, viene avviata una procedura di “tracciamento”:
   • myspace.com
   • facebook.com

 Varie  Verifica la presenza di una connessione ad internet contattando i seguenti siti web:
   • albertoshistory.info; ale.pakibili.com; astro.ic.ac.uk;
      ate.lacoctelera.net; beta.neogen.ro; browseusers.myspace.com;
      crl.microsoft.com; deirdremccloskey.org; ds.phoenix-cc.net;
      epp.gunmablog.jp; erdbeerlounge.de; goodreads.com; heidegger.x-y.net;
      hrm.uh.edu; insidehighered.com; jb.asm.org; journalofaccountancy.com;
      journals.lww.com; mas.0730ip.com; mas.ahlamontada.com;
      mas.archivum.info; mas.josbank.com; mas.juegosbakugan.net;
      mas.mtime.com; mas.tguia.cl; mas.univie.ac.at; mcsp.lvengine.com;
      middleastpost.org; mix.price-erotske.in.rs; mix.thenaturistclub.com;
      mmm.bolbalatrust.org; old.longjuyt2tugas.com; old.youku.com;
      ols.systemofadown.com; ope.oaklandathletics.com; opl.munin.irf.se;
      pra.aps.org; pru.landmines.org; qun.51.com; refugee-action.org.uk;
      screenservice.com; scribbidyscrubs.com; shopstyle.com;
      southampton.ac.uk; stayontime.info; summer-uni-sw.eesp.ch;
      transnationale.org; tripadvisor.com; uks.linkedin.com; unclefed.com;
      versatek.com; websitetrafficspy.com; www.myspace.com;
      www.shearman.com; x.myspacecdn.com; xxx.jagdcom.de; xxx.stopklatka.pl

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su mercoledì 23 marzo 2011
Descrizione aggiornata da Andrei Ilie su venerdì 1 aprile 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.