Need help? Ask the community or hire an expert.
Go to Avira Answers
Nome del virus:Worm/Dorkbot.I.385
Scoperto:07/05/2012
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
Dimensione del file:947.200 Byte
Somma di controllo MD5:e8e2ba08f9aff27eed45daa8dbde6159
Versione VDF:7.11.29.80 - lunedì 7 maggio 2012
Versione IVDF:7.11.29.80 - lunedì 7 maggio 2012

 Generale Metodi di propagazione:
    Funzione di esecuzione automatica
   • Rete locale
    Messenger


Alias:
   •  Kaspersky: Trojan.Win32.Bublik.jdb
   •  Sophos: Troj/Agent-YCW
   •  Eset: Win32/Dorkbot.B worm
     GData: Trojan.Generic.KDV.750742
     DrWeb: BackDoor.IRC.NgrBot.42
     Norman: Trojan W32/Injector.BMHF


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Effetti secondari:
    Si pu utilizzare per modificare le impostazioni del sistema che autorizzano o ingigantiscono il comportamento di potenziali malware.
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %appdata%\%stringa casuale di sei caratteri%.exe



Viene creato il seguente file:

%appdata%\%1 digit random character string%.exe Viene eseguito ulteriormente dopo che stato completamente creato. Ulteriori analisi hanno accertato che questo file anch'esso un malware.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Bwzizj"="%appdata%\%stringa casuale di sei caratteri%.exe"

 Varie Collegamento a internet:
Per verificare la propria connessione internet, vengono contattati i seguenti server DNS:
   • s177.hot**********.com
   • venus.time**********.pl


Event handler:
Crea i seguenti Event handler:
   • ReadProcessMemory
   • WriteProcessMemory
   • CreateRemoteThread
   • InternetReadFile
   • URLDownlaodToFile
   • InternetOpenURL
   • InternetOpen
   • CreateFile
   • GetAsyncKeyState


Stringa:
In pi contiene le seguenti stringhe:
   • SYN]: Starting flood on "%s:%d" for %d second(s)
   • UDP]: Starting flood on "%s:%d" for %d second(s)
   • HTTP]: Updated HTTP spread interval to "%s"
   • MSN]: Updated MSN spread message to "%s
   • facebook.*/ajax/chat/send.php*
   • friendster.*/sendmessage.php*
   • secure.logmein.*/*logincheck*
   • google.*/*ServiceLoginAuth*
   • screenname.aol.*/login.psp*
   • sms4file.com/*/signin-do*
   • vip-file.com/*/signin-do*
   • moneybookers.*/*login.pl
   • torrentleech.org/*login*
   • webnames.ru/*user_login*
   • bigstring.*/*index.php*
   • login.live.*/*post.srf*
   • depositfiles.*/*/login*
   • thepiratebay.org/login*
   • MSN-> Message Pwned :)!
   • MSN-> Done, MSG is sent
   • DNS]: Blocked DNS "%s"
   • login.yahoo.*/*login*
   • facebook.*/login.php*
   • runescape*/*weblogin*
   • mediafire.com/*login*
   • vkontakte.ru/api.php
   • friendster.*/rpc.php
   • icon=shell32.dll,7
   • steampowered*/login*
   • twitter.com/sessions
   • megaupload.*/*login*
   • sendspace.com/login*
   • 4shared.com/login*
   • hotfile.com/login*
   • netflix.com/*ogin*
   • godaddy.com/login*

 Dettagli del file Linguaggio di programmazione:
Il malware stato scritto in Borland C++.

Beschrijving ingevoegd door Wensin Lee op maandag 8 oktober 2012
Beschrijving bijgewerkt door Wensin Lee op maandag 8 oktober 2012

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.