English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/IRCBot.EW
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/IRCBot.EW - Worm
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
Worm/IRCBot.EW
発見日:
23/08/2005
タイプ
ワーム
感染報告有り
いいえ
感染報告
低
感染の可能性
中
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
8.204 バイト
MD5 チェックサム
d5f5c6768beea05a6c0d72ecb69d27d1
VDFファージョン:
6.31.1.166
一般情報
感染方法
• ローカル・ネットワーク
別名
• Symantec(シマンテック) W32.Esbot.A
• McAfee(マカフィー) W32/IRCbot.worm.gen
• Kaspersky(カスペルスキー) Backdoor.Win32.IRCBot.ew
• F-Secure(エフ・セキュア) W32/Ircbot.T
• ビットディフェンダー(Bitdefender): Backdoor.Ircbot.EW
プラットフォーム/OS:
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• ファイルをダウンロードします。
• セキュリティの設定を低くします。
• レジストリの改変。
• ソフトの脆弱性を利用します。
• サード・パーティ・コントロール
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\mousemm.exe
最初に実行したコピーの方を削除します。
以下のファイルが作成されます:
–
%WINDIR%
\debug\dcpromo.log
レジストリ
以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:
– [HKLM\SYSTEM\CurrentControlSet\Services\mousemm]
• "Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=
%ユーザ設定%
"DisplayName"="Mouse Movement Monitor"
"ObjectName"="LocalSystem"
"FailureActions"=
%ユーザ設定%
"Description"="Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability."
– [HKLM\SYSTEM\CurrentControlSet\Services\mousemm\Security]
• "Security"=
%ユーザ設定%
– [HKLM\SYSTEM\CurrentControlSet\Services\mousemm\Enum]
• "0"="Root\\LEGACY_MOUSEMM\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
以下のレジストリ・キーは変更されます:
– [HKLM\SOFTWARE\Microsoft\Ole]
前の値
• "EnableDCOM"=
%ユーザ設定%
新しい値
• "EnableDCOM"="n"
– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
前の値
• "restrictanonymous"=
%ユーザ設定%
新しい値
• "restrictanonymous"=dword:00000001
ネットワーク感染
感染を確かなものにするために、マルウェアは以下のように他のマシンに接続しようとします。
エクスプロイト(Exploit)
以下のエクスプロイト(Exploit)を利用します:
–
MS05-039
(プラグ・アンド・プレイの脆弱性)
IRC
システム情報を報告し、リモートコントロールを可能にするために以下のIRCサーバに接続します:
サーバ **********.is-a-fag.net
ポート: 18067
チャンネル #p1
ニックネーム p1-
%8桁のランダムな文字列%
パスワード 8mfpdofw
サーバ **********.legi0n.net
ポート: 18067
チャンネル #p1
ニックネーム p1-
%8桁のランダムな文字列%
パスワード 8mfpdofw
– その他以下のアクションを実行することもできます:
• DDoS SYN flood 攻撃を開始します。
• DDoS UDP flood 攻撃を開始します。
• ダウンロード・ファイル
• 実行ファイル
• プロセスを強制終了する
• DDoS攻撃を実行する
• ネットワーク・スキャンの実行
• 伝染ルーチンの開始
• プロセスを終了する
バックドア
以下のポートが開かれます:
–
%実行ファイル%
TCPポートに 30722 バックドアを開くため
挿入(Injection)
– それ自身をプロセスに挿入させます。
プロセス名:|以下のうちの1つ:
• explorer.exe
マルウェアが試みに失敗すると、それはプロセスとして実行し続けます。
その他
Mutex(ミューテック)
以下のMutex(ミューテック)を作成します:
• mousemm
ファイルの詳細
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• MEW 11
簡単な説明は
ココ
にあります。.
この説明は Razvan Olteanu によって Thu, 01 Sep 2005 12:54 (GMT+1) 書き込まれました。
この説明は Razvan Olteanu によって Thu, 01 Sep 2005 15:33 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Netsky.J
Worm/Mytob.AT
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
