Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:TR/Ircbrute.A.791
Scoperto:08/09/2010
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:135.168 Byte
Somma di controllo MD5:A98DC68388D2199E85078AA3D4A58AC9
Versione VDF:7.10.05.13
Versione IVDF:7.10.11.109 - mercoledì 8 settembre 2010

 Generale Metodo di propagazione:
    Messenger


Alias:
   •  TrendMicro: TROJ_IRCBRUTE.DH
   •  Sophos: Mal/Behav-103
     Avast: Win32:Ruskill-AL [Trj]


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Effetti secondari:
   • Accesso e controllo del computer da parte di terzi
   • Duplica file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %APPDATA%\E-73473-3674-74335\msnrsmsn.exe

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft MainUpdates"="%APPDATA%\E-73473-3674-74335\msnrsmsn.exe"



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%APPDATA%\E-73473-3674-74335\msnrsmsn.exe"="%APPDATA%\E-73473-3674-74335\msnrsmsn.exe:*:Enabled:Microsoft
      MainUpdates"

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

 Yahoo Messenger


Messaggio
Il messaggio inviato sar tipo uno dei seguenti:

   • ahoj, dobry den jste na? ... %link%
     belas fotos nao de voce %link%
     Fotograflarinizi?? %link%
     hey, beautiful facebook photos.. %link%
     hoi niet mooi fotos %link%
     hoj so vase fotografije? %link%
     ich sag nur geile fotos. %link%
     muy hermosas fotos no?? %link%
     u lepo slike ne? ... %link%
     u velmi pekne fotografie od vas? %link%
     uh flotte fotos fra dig %link%
     uh szep kepek rolad %link%
     uh valokuva ei ole? %link%
     uh vos facebook photos? %link%
     uhh, ladne zdjecia z was. %link%
     vackra bilder fran dig %link%
     vakre bilder fra deg. %link%
     woow, imagini frumoase din voi?? %link%
     wow le tue foto bellissime %link%
     wow, fbphotos. %link%

 IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: **********m.hoodrich.ru
Porta: 4042
Nickname: %stringa di caratteri casuale%


 In pi ha la capacit di effettuare azioni quali:
     connettere al server IRC
     disconnettere dal server IRC
    • Connettersi al canale IRC
    • Abbandonare il canale IRC

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in MS Visual C++.

Descrizione inserita da Andrei Ilie su mercoledì 21 settembre 2011
Descrizione aggiornata da Andrei Ilie su giovedì 22 settembre 2011

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.