Nome del virus:Worm/Dorkbot.A.385
Scoperto:20/07/2011
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:200.704 Byte
Somma di controllo MD5:1BA870186344E5042B6603A42FB10296
Versione VDF:7.11.12.21 - mercoledì 20 luglio 2011
Versione IVDF:7.11.12.21 - mercoledì 20 luglio 2011

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica
   • Email
   • Messenger


Alias:
   •  TrendMicro: WORM_RUSKILL.AA
   •  Sophos: Troj/DorkBot-I
   •  Microsoft: Worm:Win32/Dorkbot.A


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Blocca l'accesso a siti web di sicurezza
   • Duplica file
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %APPDATA%\%stringa di caratteri casuale%.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%APPDATA%\%stringa di caratteri casuale%.exe"

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– Windows Live Messenger
– Yahoo Messenger

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: **********psybnc.cz
Porta: %numero%
Password del server: ngrBot
Canale: #Redrm-002#
Nickname: %stringa di caratteri casuale%
Password: redem

Server: **********shannen.cc
Porta: %numero%
Password del server: ngrBot
Canale: #Redrm-002#
Nickname: %stringa di caratteri casuale%
Password: redem

Server: **********0days.in
Porta: %numero%
Password del server: ngrBot
Canale: #Redrm-002#
Nickname: %stringa di caratteri casuale%
Password: redem

Server: **********a7aneek.net
Porta: %numero%
Password del server: ngrBot
Canale: #Redrm-002#
Nickname: %stringa di caratteri casuale%
Password: redem

Server: **********honeycat.org
Porta: %numero%
Password del server: ngrBot
Canale: #Redrm-002#
Nickname: %stringa di caratteri casuale%
Password: redem

Server: **********masrawy.in
Porta: %numero%
Password del server: ngrBot
Canale: #Redrm-002#
Nickname: %stringa di caratteri casuale%
Password: redem

Server: **********scorevidic.net
Porta: %numero%
Password del server: ngrBot
Canale: #Redrm-002#
Nickname: %stringa di caratteri casuale%
Password: redem

Server: **********-191-17.ghst.net
Porta: %numero%
Password del server: ngrBot
Canale: #Redrm-002#
Nickname: %stringa di caratteri casuale%
Password: redem

Server: **********-191-17.ghst.net
Porta: %numero%
Password del server: ngrBot
Canale: #Redrm-002#
Nickname: %stringa di caratteri casuale%
Password: redem

Server: **********-191-17.ghst.net
Porta: %numero%
Password del server: ngrBot
Canale: #Redrm-002#
Nickname: %stringa di caratteri casuale%
Password: redem



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Utente corrente
    • Nome Utente
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS UDP
    • disconnettere dal server IRC
    • Download di file
    • Connettersi al canale IRC
    • Abbandonare il canale IRC
    • Eseguire un attacco DdoS
    • Riavviare il sistema
    • Iniziare procedura di diffusione

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password inserite nei campi di input password

– Dopo aver visitato un sito web, che nel suo URL contiene una delle seguenti sottostringhe, viene avviata una procedura di “tracciamento”:
   • .moneybookers.; 1and1.com; 4shared.com; alertpay.com; aol.;
      bcointernacional; bigstring.; depositfiles.; dotster.com; dyndns;
      enom.com; facebook.; fastmail.; fileserv.com; filesonic.com;
      freakshare.com; gmx.; godaddy.com; google.; hackforums.; hotfile.com;
      letitbit.net; login.live.; login.yahoo.; mediafire.com; megaupload.;
      members*.iknowthatgirl; members.brazzers.com; moniker.com;
      namecheap.com; netflix.com; netload.in; no-ip; officebanking.cl;
      oron.com; paypal.; runescape; screenname.aol.; secure.logmein.;
      sendspace.com; signin.ebay; sms4file.com; speedyshare.com;
      steampowered; thepiratebay.org; torrentleech.org; twitter.com;
      uploaded.to; uploading.com; vip-file.com; webnames.ru; what.cd; whcms;
      youporn.

– Cattura:
    • Informazioni di login

 Come il virus si inserisce nei processi – Si inserisce come minaccia remota nei processi.

    Tutti i seguenti processi:
   • alg.exe; chrome.exe; csrss.exe; explorer.exe; firefox.exe; flock.exe;
      ieuser.exe; iexplore.exe; msmsgs.exe; msnmsgr.exe; opera.exe;
      pidgin.exe; services.exe; smss.exe; spoolsv.exe; svchost.exe;
      winlogon.exe; wlcomm.exe; wuauclt.exe; %processo casuale%



Purpose:
L'accesso ai seguenti siti web è effettivamente bloccato:
   • *avast.*; *avira.*; *bitdefender.*; *bullguard.*; *clamav.*;
      *comodo.*; *emsisoft.*; *eset.*; *f-secure.*; *fortinet.*;
      *garyshood.*; *gdatasoftware.*; *heck.tc*; *iseclab.*; *jotti.*;
      *kaspersky.*; *lavasoft.*; *malwarebytes.*; *mcafee.*; *norman.*;
      *norton.*; *novirusthanks.*; *onecare.live.*; *onlinemalwarescanner.*;
      *pandasecurity.*; *precisesecurity.*; *sophos.*; *sunbeltsoftware.*;
      *symantec*; *threatexpert.*; *trendmicro.*; *virscan.*; *virus.*;
      *virusbuster.nprotect.*; *viruschief.*; *virustotal.*; *webroot.*


 Varie Accede alle risorse Internet:
   • api.wipmania.com


Mutex:
Crea il seguente Mutex:
   • BKKBwjOPVnlqibIA

Descrizione inserita da Andrei Ilie su giovedì 18 agosto 2011
Descrizione aggiornata da Andrei Ilie su giovedì 18 agosto 2011

Indietro . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tutti i diritti riservati.

Il Mio Account

https:// Questa finestra è criptata per tua sicurezza.