Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Dorkbot.A.387
Scoperto:20/07/2011
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:179.712 Byte
Somma di controllo MD5:53422FC023412D12C429B6289F5075BC
Versione VDF:7.11.12.21 - mercoledì 20 luglio 2011
Versione IVDF:7.11.12.21 - mercoledì 20 luglio 2011

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica
   • Email
   • Messenger


Alias:
   •  Kaspersky: Trojan.Win32.Jorik.IRCbot.aha
   •  TrendMicro: TROJ_SPNR.02GB11
   •  Sophos: Mal/VBCheMan-A


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Blocca l'accesso a siti web di sicurezza
   • Duplica file
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %APPDATA%\%stringa di caratteri casuale%.exe



Cancella la copia di se stesso eseguita inizialmente.

 Registro Ad ogni chiave di registro viene aggiunto uno dei valori per eseguire i processi dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%APPDATA%\%stringa di caratteri casuale%.exe"

–  [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%APPDATA%\%stringa di caratteri casuale%.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%stringa di caratteri casuale%"="%APPDATA%\%stringa di caratteri casuale%.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "Shell"="explorer.exe,%APPDATA%\%stringa di caratteri casuale%.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "Shell"="explorer.exe,%APPDATA%\%stringa di caratteri casuale%.exe"

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– Windows Live Messenger
– Yahoo Messenger

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: **********.photomarket.me
Porta: 1234
Canale: #ngr
Nickname: %stringa di caratteri casuale%



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
    • Utente corrente
    • Nome Utente
    • Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
    • connettere al server IRC
    • Lanciare un attacco DdoS SYN
    • Lancia un attacco DdoS UDP
    • disconnettere dal server IRC
    • Download di file
    • Connettersi al canale IRC
    • Abbandonare il canale IRC
    • Eseguire un attacco DdoS
    • Riavviare il sistema
    • Iniziare procedura di diffusione

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password inserite nei campi di input password

– Dopo aver visitato un sito web, che nel suo URL contiene una delle seguenti sottostringhe, viene avviata una procedura di “tracciamento”:
   • .moneybookers.; 1and1.com; 4shared.com; alertpay.com; aol.;
      bcointernacional; bigstring.; depositfiles.; dotster.com; dyndns;
      enom.com; facebook.; fastmail.; fileserv.com; filesonic.com;
      freakshare.com; gmx.; godaddy.com; google.; hackforums.; hotfile.com;
      letitbit.net; login.live.; login.yahoo.; mediafire.com; megaupload.;
      members*.iknowthatgirl; members.brazzers.com; moniker.com;
      namecheap.com; netflix.com; netload.in; no-ip; officebanking.cl;
      oron.com; paypal.; runescape; screenname.aol.; secure.logmein.;
      sendspace.com; signin.ebay; sms4file.com; speedyshare.com;
      steampowered; thepiratebay.org; torrentleech.org; twitter.com;
      uploaded.to; uploading.com; vip-file.com; webnames.ru; what.cd; whcms;
      youporn.

– Cattura:
    • Informazioni di login

 Come il virus si inserisce nei processi – Si inserisce come minaccia remota nei processi.

    Tutti i seguenti processi:
   • alg.exe; chrome.exe; csrss.exe; explorer.exe; firefox.exe; flock.exe;
      ieuser.exe; iexplore.exe; msmsgs.exe; msnmsgr.exe; opera.exe;
      pidgin.exe; services.exe; smss.exe; spoolsv.exe; svchost.exe;
      winlogon.exe; wlcomm.exe; wuauclt.exe; %processo casuale%



Purpose:
L'accesso ai seguenti siti web è effettivamente bloccato:
   • *avast.*; *avira.*; *bitdefender.*; *bullguard.*; *clamav.*;
      *comodo.*; *emsisoft.*; *eset.*; *f-secure.*; *fortinet.*;
      *garyshood.*; *gdatasoftware.*; *heck.tc*; *iseclab.*; *jotti.*;
      *kaspersky.*; *lavasoft.*; *malwarebytes.*; *mcafee.*; *norman.*;
      *norton.*; *novirusthanks.*; *onecare.live.*; *onlinemalwarescanner.*;
      *pandasecurity.*; *precisesecurity.*; *sophos.*; *sunbeltsoftware.*;
      *symantec*; *threatexpert.*; *trendmicro.*; *virscan.*; *virus.*;
      *virusbuster.nprotect.*; *viruschief.*; *virustotal.*; *webroot.*


 Varie Accede alle risorse Internet:
   • api.wipmania.com


Mutex:
Crea il seguente Mutex:
   • paraboner-Mutex

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ilie su giovedì 18 agosto 2011
Descrizione aggiornata da Andrei Ilie su giovedì 18 agosto 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.