Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:BDS/Ruskill.db.1
Scoperto:03/06/2011
Tipo:Backdoor Server
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
Dimensione del file:167.936 Byte
Somma di controllo MD5:0A415C119E0B5447FE9174B242896222
Versione VDF:7.11.08.254 - venerdì 3 giugno 2011
Versione IVDF:7.11.08.254 - venerdì 3 giugno 2011

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Mcafee: W32/Kolab
   •  TrendMicro: WORM_DORKBOT.ZC
   •  Sophos: Mal/VB-YG


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %APPDATA%\%stringa di caratteri casuale%.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%APPDATA%\%stringa di caratteri casuale%.exe"

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: **********ukenke.com
Porta: 7777
Password del server: laekin0505x
Canale: #totalrenovation2011
Nickname: {%random caracters%}%random caracters%
Password: ngrBot

Server: **********fina.com
Porta: 7777
Password del server: laekin0505x
Canale: #totalrenovation2011
Nickname: {%random caracters%}%random caracters%
Password: ngrBot

Server: **********aa.com
Porta: 7777
Password del server: laekin0505x
Canale: #totalrenovation2011
Nickname: {%random caracters%}%random caracters%
Password: ngrBot

Server: **********cc.com
Porta: 7777
Password del server: laekin0505x
Canale: #totalrenovation2011
Nickname: {%random caracters%}%random caracters%
Password: ngrBot

Server: **********ss.com
Porta: 7777
Password del server: laekin0505x
Canale: #totalrenovation2011
Nickname: {%random caracters%}%random caracters%
Password: ngrBot



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Utente corrente
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • disconnettere dal server IRC
    • Connettersi al canale IRC
    • Abbandonare il canale IRC

 Come il virus si inserisce nei processi – Si inserisce come minaccia remota nei processi.

    Tutti i seguenti processi:
   • explorer.exe
   • csrss.exe
   • services.exe
   • smss.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • winlogon.exe


 Varie Accede alle risorse Internet:
   • http://api.wipmania.com/

Descrizione inserita da Andrei Ilie su martedì 9 agosto 2011
Descrizione aggiornata da Andrei Ilie su martedì 9 agosto 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.