PCの修理が必要ですか?
専門家に頼む
ウイルスBDS/IRCBot.DL.105
発見日:15/05/2011
タイプバックドア・サーバ型
感染報告有りいいえ
感染報告
感染の可能性低~中
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ197.280 バイト
MD5 チェックサム4A1376AE66413095000D5DD3544C4128
VDFファージョン:7.11.08.22 - 2011年5月15日日曜日
IVDFファージョン:7.11.08.22 - 2011年5月15日日曜日

 一般情報 感染方法
   • 自動実行機能


別名
   •  Kaspersky: Trojan-Spy.Win32.Zbot.bwjw
   •  Sophos: Troj/Bckdr-RIR
   •  Microsoft: Backdoor:Win32/IRCbot.DL
   •  GData: Worm.Generic.317684
   •  DrWeb: Trojan.DownLoader2.39345


プラットフォーム/OS:
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用
   • 悪意ファイルを作成します。
   • レジストリの改変。
   • 情報を盗みます。

 ファイル それ自体を以下の場所にコピーします。
   • %APPDATA%\Microsoft\%ランダムな文字列%.exe

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%ランダムな文字列%.exe"="%APPDATA%\Microsoft\%ランダムな文字列%.exe"

 IRC システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:

サーバ **********ney.no-ip.info
ポート: 3074
ニックネーム %ランダムな文字列%



– このマルウェアは以下の情報を収集し送る能力があります:
    • ユーザーネーム
    • ウインドウズOSについての情報


– その他以下のアクションを実行することもできます:
    • IRCサーバと接続します。
    • IRCサーバとの接続を終了します。
    • IRCチャンネルに入室する
    • IRCチャンネルを退室する

 バックドア 以下のポートが開かれます:

– svchost.exe UDPポートに 1900 バックドアを開くため

 窃盗 – オートコンプリート機能を利用して記録されたパスワード

– 以下のプログラムからのパスワード:
   • Mozilla Firefox
   • Internet Explorer

 挿入(Injection) – プロセスにリモートスレッドとして挿入します。

    プロセス名:|以下のすべて:
   • svchost.exe


 その他 Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
   • HelloDDoser

 ファイルの詳細 プログラム言語:
このマルウェアプログラムはDelphi(デルファイ)で書かれています。


ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Andrei Ilie の 2011年10月18日火曜日
説明の更新者 Andrei Ilie の 2011年10月19日水曜日

戻る . . . .
https:// このウィンドウは暗号化されています。