Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Dorkbot.A.390
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:中等程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:192.512 字节
MD5 校检和:CB5A665537F16E6EE539F2E85764A89C
VDF 版本:7.11.53.216 - 2012년 12월 13일 목요일
IVDF 版本:7.11.53.216 - 2012년 12월 13일 목요일

 况概描述 传播方法:
   • 视窗自动运行Autorun功能
   • 电子邮件
   • Messenger


别名:
   •  Symantec: W32.IRCBot.NG
   •  Kaspersky: Backdoor.Win32.Ruskill.fu
   •  Microsoft: Worm:Win32/Dorkbot.A


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


副作用:
   • 第三方控件
   • 阻止对安全网站的访问
   • 植入文件
   • 注册表修改
   • 窃取信息

 文件 它将本身复制到以下位置:
   • %APPDATA%\%随机字符串%.exe



它会删除其本身最初执行的副本。

 注册表 会添加以下某个注册值,以便在重新引导后运行进程:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%随机字符串%"="%APPDATA%\%随机字符串%.exe"

 Messenger 它是通过 Messenger 传播的。 下面说明了它的特征:

– Windows Live Messenger
– Yahoo Messenger

 IRC 为了提供系统信息和远程控制,它会连接到以下 IRC 服务器:

服务器: **********psybnc.cz
端口: 5900
服务器密码: ngrBot
通道: #Redrm-002#
昵称: %随机字符串%

服务器: **********shannen.cc
端口: 4949
服务器密码: ngrBot
通道: #Redrm-002#
昵称: %随机字符串%

服务器: **********0days.in
端口: 5900
服务器密码: ngrBot
通道: #Redrm-002#
昵称: %随机字符串%

服务器: **********a7aneek.net
端口: 3212
服务器密码: ngrBot
通道: #Redrm-002#
昵称: %随机字符串%

服务器: **********honeycat.org
端口: 5900
服务器密码: ngrBot
通道: #Redrm-002#
昵称: %随机字符串%

服务器: **********masrawy.in
端口: 5900
服务器密码: ngrBot
通道: #Redrm-002#
昵称: %随机字符串%

服务器: **********scorevidic.net
端口: 5900
服务器密码: ngrBot
通道: #Redrm-002#
昵称: %随机字符串%



– 此恶意软件能够搜集并发送类似如下信息:
    • 当前用户
    • 用户名
    • Windows 操作系统信息


– 而且,它能够进行此般操作:
    • 连接到 IRC 服务器
    • 启动 DDoS SYN 洪水攻击
    • 启动 DDoS UDP 洪水攻击
    • 与 IRC 服务器断开连接
    • 下载文件
    • 加入 IRC 通道
    • 离开 IRC 通道
    • 执行 DDoS 攻击
    • 重新引导系统
    • 启动传播例程

 窃取 它会尝试窃取以下信息:
– 在“密码输入字段”中输入的密码

– 在访问 URL 中包含以下某个子字符串的网站之后,会启动日志记录例程:
   • .moneybookers.; 1and1.com; 4shared.com; alertpay.com; aol.;
      bcointernacional; bigstring.; depositfiles.; dotster.com; dyndns;
      enom.com; facebook.; fastmail.; fileserv.com; filesonic.com;
      freakshare.com; gmx.; godaddy.com; google.; hackforums.; hotfile.com;
      letitbit.net; login.live.; login.yahoo.; mediafire.com; megaupload.;
      members*.iknowthatgirl; members.brazzers.com; moniker.com;
      namecheap.com; netflix.com; netload.in; no-ip; officebanking.cl;
      oron.com; paypal.; runescape; screenname.aol.; secure.logmein.;
      sendspace.com; signin.ebay; sms4file.com; speedyshare.com;
      steampowered; thepiratebay.org; torrentleech.org; twitter.com;
      uploaded.to; uploading.com; vip-file.com; webnames.ru; what.cd; whcms;
      youporn.

– 它会捕获:
    • 登录信息

 注入进程 – 它将自己作为远程线程注入到进程中。

    以下所有进程:
   • alg.exe; chrome.exe; csrss.exe; explorer.exe; firefox.exe; flock.exe;
      ieuser.exe; iexplore.exe; msmsgs.exe; msnmsgr.exe; opera.exe;
      pidgin.exe; services.exe; smss.exe; spoolsv.exe; svchost.exe;
      winlogon.exe; wlcomm.exe; wuauclt.exe; %随机进程%



目的:
已有效阻止对以下网站的访问:
   • *avast.*; *avira.*; *bitdefender.*; *bullguard.*; *clamav.*;
      *comodo.*; *emsisoft.*; *eset.*; *f-secure.*; *fortinet.*;
      *garyshood.*; *gdatasoftware.*; *heck.tc*; *iseclab.*; *jotti.*;
      *kaspersky.*; *lavasoft.*; *malwarebytes.*; *mcafee.*; *norman.*;
      *norton.*; *novirusthanks.*; *onecare.live.*; *onlinemalwarescanner.*;
      *pandasecurity.*; *precisesecurity.*; *sophos.*; *sunbeltsoftware.*;
      *symantec*; *threatexpert.*; *trendmicro.*; *virscan.*; *virus.*;
      *virusbuster.nprotect.*; *viruschief.*; *virustotal.*; *webroot.*


 其他 访问 Internet 资源:
   • api.wipmania.com


Mutex:
它会创建以下 Mutex:
   • BKKBwjOPVnlqibIA

설명 삽입자 Andrei Ilie   2011년 8월 19일 금요일
설명 업데이트 Andrei Ilie   2011년 8월 19일 금요일

뒤로 . . . .
https:// 이 창은 보안을 위해 암호화되었습니다.