VírusTR/IRC.Ryknos.A
Data em que surgiu:10/11/2005
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:10.240 Bytes
MD5 checksum:ebe94809b68675feddfe2a2fa889f243
Versão VDF:6.32.00.168

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação
   •  Mcafee: W32/Brepibot
   •  Kaspersky: Backdoor.Win32.Breplibot.b
   •  Sophos: Troj/Stinx-E


Sistemas Operativos:
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\$sys$drv.exe



Apaga a cópia executada inicialmente.

 Registry (Registo do Windows) É adicionada a seguinte chave de registo:

– [HKCU\WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj]
   • "$sys$drv"="$sys$drv.exe"

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: 24.**********.45
Porta: 8080
Canal #sony
Nickname: [%vários dígitos aleatórios%-%sistema operativo%]%uma série de caracteres aleatórios%

Servidor: 35.**********.93
Porta: 8080
Canal #sony
Nickname: [%vários dígitos aleatórios%-%sistema operativo%]%uma série de caracteres aleatórios%

Servidor: 67.**********.190
Porta: 8080
Canal #sony
Nickname: [%vários dígitos aleatórios%-%sistema operativo%]%uma série de caracteres aleatórios%

Servidor: 68.**********.76
Porta: 8080
Canal #sony
Nickname: [%vários dígitos aleatórios%-%sistema operativo%]%uma série de caracteres aleatórios%

Servidor: 152.**********.186
Porta: 8080
Canal #sony
Nickname: [%vários dígitos aleatórios%-%sistema operativo%]%uma série de caracteres aleatórios%


– Para além disso tem a capacidade de executar a seguinte acção:
    • Download de ficheiros

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • $sys$drv.exe

 Tecnologia de Rootkit É uma tecnologia malware-específica. O malware esconde-se de utilitários de sistema, aplicações de segurança e, do utilizador.


Oculta o seguinte:
– O seu próprio ficheiro


Forma utilizada
    • Utiliza o Rootkit que é activado ao instalar Software Sony de CDs de áudio

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Andrei Ivanes em quinta-feira, 10 de novembro de 2005
Descrição atualizada por Andrei Ivanes em segunda-feira, 14 de novembro de 2005

Voltar . . . .