Need help? Ask the community or hire an expert.
Go to Avira Answers
Nombre:Worm/Dorkbot.I.385
Descubierto:07/05/2012
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Tamaño:947.200 Bytes
Suma de control MD5:e8e2ba08f9aff27eed45daa8dbde6159
Versión del VDF:7.11.29.80 - lunes, 7 de mayo de 2012
Versión del IVDF:7.11.29.80 - lunes, 7 de mayo de 2012

 General Métodos de propagación:
   • Función de autoejecución
   • Red local
   • Messenger


Alias:
   •  Kaspersky: Trojan.Win32.Bublik.jdb
   •  Sophos: Troj/Agent-YCW
   •  Eset: Win32/Dorkbot.B worm
   •  GData: Trojan.Generic.KDV.750742
   •  DrWeb: BackDoor.IRC.NgrBot.42
   •  Norman: Trojan W32/Injector.BMHF


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Se puede utilizar para modificar la configuración del sistema que permite o aumenta el comportamiento del malware potencial.
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %appdata%\%serie de caracteres aleatorios de seis dígitos%.exe



Crea el siguiente fichero:

– %appdata%\%1 digit random character string%.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral.

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Bwzizj"="%appdata%\%serie de caracteres aleatorios de seis dígitos%.exe"

 Informaciones diversas Conexión a Internet:
Para verificar la conexión a Internet, se conecta a los siguientes servidores DNS:
   • s177.hot**********.com
   • venus.time**********.pl


Controlador de eventos:
Crea los siguientes controladores de eventos:
   • ReadProcessMemory
   • WriteProcessMemory
   • CreateRemoteThread
   • InternetReadFile
   • URLDownlaodToFile
   • InternetOpenURL
   • InternetOpen
   • CreateFile
   • GetAsyncKeyState


Serie de caracteres:
Además, incluye las siguientes series de caracteres:
   • SYN]: Starting flood on "%s:%d" for %d second(s)
   • UDP]: Starting flood on "%s:%d" for %d second(s)
   • HTTP]: Updated HTTP spread interval to "%s"
   • MSN]: Updated MSN spread message to "%s
   • facebook.*/ajax/chat/send.php*
   • friendster.*/sendmessage.php*
   • secure.logmein.*/*logincheck*
   • google.*/*ServiceLoginAuth*
   • screenname.aol.*/login.psp*
   • sms4file.com/*/signin-do*
   • vip-file.com/*/signin-do*
   • moneybookers.*/*login.pl
   • torrentleech.org/*login*
   • webnames.ru/*user_login*
   • bigstring.*/*index.php*
   • login.live.*/*post.srf*
   • depositfiles.*/*/login*
   • thepiratebay.org/login*
   • MSN-> Message Pwned :)!
   • MSN-> Done, MSG is sent
   • DNS]: Blocked DNS "%s"
   • login.yahoo.*/*login*
   • facebook.*/login.php*
   • runescape*/*weblogin*
   • mediafire.com/*login*
   • vkontakte.ru/api.php
   • friendster.*/rpc.php
   • icon=shell32.dll,7
   • steampowered*/login*
   • twitter.com/sessions
   • megaupload.*/*login*
   • sendspace.com/login*
   • 4shared.com/login*
   • hotfile.com/login*
   • netflix.com/*ogin*
   • godaddy.com/login*

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Borland C++.

Beschrijving ingevoegd door Wensin Lee op maandag 8 oktober 2012
Beschrijving bijgewerkt door Wensin Lee op maandag 8 oktober 2012

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.