PCの修理が必要ですか?
専門家に頼む
ウイルスWorm/IrcBot.93327
発見日:05/04/2010
タイプワーム
感染報告有りはい
感染報告低~中
感染の可能性低~中
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ93.327 バイト
MD5 チェックサムca4abcc5694825fc39112b0b851307d1
IVDFファージョン:7.10.06.25 - 2010年4月5日月曜日

 一般情報 別名
   •  Panda W32/OscarBot.XW
   •  Eset IRC/SdBot
   •  ビットディフェンダー(Bitdefender): Trojan.Generic.3622232


プラットフォーム/OS:
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003


副作用
   • 悪意ファイルをダウンロードします。
   • 悪意ファイルを作成します。
   • セキュリティの設定を低くします。
   • レジストリの改変。
   • サード・パーティ・コントロール

 ファイル それ自体を以下の場所にコピーします。
   • %WINDIR%\infocard.exe
   • %WINDIR%\infocard.exb



最初に実行したコピーの方を削除します。




ファイルをダウンロードしようとします:

– 場所は以下の通りです:
   • http://browseusers.myspace.com/Browse/**********




以下のファイルを起動しようとします:

– 以下のファイルのうちのどれかを起動しようとします:
   • net stop MsMpSvc


– 以下のファイルのうちのどれかを起動しようとします:
   • net1 stop MsMpSvc


– 以下のファイルのうちのどれかを起動しようとします:
   • netsh firewall add allowedprogram 1.exe 1 ENABLE


– 以下のファイルのうちのどれかを起動しようとします:
   • "%WINDIR%\infocard.exe"


– 以下のファイルのうちのどれかを起動しようとします:
   • explorer.exe http://browseusers.myspace.com/Browse/Browse.aspx

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"



ウインドウズXPのファイアウォールをバイパスするため、以下のエントリを作成します:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%実行ファイル%"="%WINDIR%\infocard.exe:*:Enabled:Firewall
      Administrating"



以下のレジストリ・キーは変更されます:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   新しい値
   • "Start Page"="http://www.gllod.com"

 IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:

サーバ sls.e2d**********.net
ポート: 2345
チャンネル #imb
ニックネーム NEW-[USA|00|P|%番号% ]

説明の挿入者 Petre Galan の 2010年6月28日月曜日
説明の更新者 Petre Galan の 2010年6月28日月曜日

戻る . . . .
https:// このウィンドウは暗号化されています。