English
Deutsch
Français
Español
Italiano
Home
Minacce
Worm/IRCBot.38400
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TechBlog
Worm/IRCBot.38400 - Worm
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
Worm/IRCBot.38400
Scoperto:
01/03/2006
Tipo:
Worm
In circolazione (ITW):
Si
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Medio-Alto
Potenziale di danni:
Medio
File statico:
Si
Dimensione del file:
38.400 Byte
Somma di controllo MD5:
95965ebb920D87dac65880ac9af846c2
Versione VDF:
6.33.01.41
Versione IVDF:
6.33.01.42
Generale
Metodo di propagazione:
• Rete locale
Alias:
• Kaspersky: Backdoor.Win32.IRCBot.pd
• TrendMicro: WORM_TIRBOT.G
• Sophos: Troj/IRCBot-PD
• Bitdefender: Backdoor.TirBot.F
Piattaforme / Sistemi operativi:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Duplica un file
• Modifica del registro
• Sfrutta la vulnerabilità del software
• Accesso e controllo del computer da parte di terzi
File
Si copia alla seguente posizione:
•
%SYSDIR%
\MSDTCs.exe
Viene creato il seguente file:
– File “non maligno”:
•
%WINDIR%
\msi486.dll
Registro
Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• IECheck="
%SYSDIR%
\MSDTCs.exe"
“Infezione” della rete
Exploit:
Sfrutta la seguente vulnerabilità:
–
MS04-011
(LSASS Vulnerability)
Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali e prova a stabilire una connessione.
IRC
Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:
Server: r3v3ng3.**********
Porta: 6667
Canale: r1sUn10n
Server: r3v3ng3.**********
Porta: 6667
Canale: r1sUn10n
Server: mast4.**********
Porta: 6667
Canale: r1sUn10n
Server: squ4r3s.**********
Porta: 6667
Canale: r1sUn10n
– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
• Velocità della CPU
• Utente corrente
• Dettagli sui driver
• Spazio libero su disco
• Memoria libera
• Uptime del malware
• Informazioni sui processi in corso
• Dimensione della memoria
• Nome Utente
• Directory di Windows
• Informazioni sul sistema operativo Windows
– In più ha la capacità di effettuare azioni quali:
• Lancia un attacco DdoS UDP
• Download di file
• Modificare il registro
• Eseguire file
• Terminare il processo
• Eseguire un attacco DdoS
• Iniziare procedura di diffusione
• Terminare il malware
• Terminare il processo
• Aggiornarsi
• Carica un file
Varie
Mutex:
Crea il seguente Mutex:
• 1nUr4ssH0l3
Dettagli del file
Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Ernest Szocs il Wed, 03 Oct 2007 10:47 (GMT+1)
Descrizione aggiornata da Ernest Szocs il Thu, 04 Oct 2007 12:33 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Ricevete messaggi aggiornati da Avira in formato
Riconosce e rimuove un malware specifico e le relative varianti.
Scarica qui
Incorporate sul vostro sito Web la visualizzazione di un
avviso in caso di virus
© 2009 Avira GmbH
Copyright
|
Protezione dei dati
|
Mappa del sito
|
Feedback
|
Informazione legale
|
FAQ
|
Contatti
Minacce Worm/IRCBot.38400
Stampa questa pagina
.gif)
