VírusTR/IRCBot.MX
Data em que surgiu:20/01/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:196.608 Bytes
MD5 checksum:1a8676220F19f1b0052dc59fac6ad94f
Versão VDF:6.33.00.144

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.mx
   •  TrendMicro: BKDR_IRCBOT.DU
   •  Bitdefender: Backdoor.IRCBot.MX

Identificado anteriormente como:
   •  Worm/IRCBot.MX


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\SysCfg.exe



Apaga a cópia executada inicialmente.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SysCfg" = "%SYSDIR%\SysCfg.exe"



É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "kl" = dword:00000000
   • "keep1" = dword:00000000
   • "keepnick1" = "r"
   • "name1" = "Realname"
   • "user1" = "user"
   • "nick1" = "Nick%dois caracteres aleatórios%"
   • "port1" = "6667"
   • "server1" = %servidor IRC%

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: irc.lub**********
Porta: 6667
Canal #chimera
Nickname: Nick%dois caracteres aleatórios%
Palavra-chave software

Servidor: open.pl.irc**********
Porta: 6667
Canal #chimera
Nickname: Nick%dois caracteres aleatórios%
Palavra-chave software

Servidor: poznan.i**********
Porta: 6667
Canal #chimera
Nickname: Nick%dois caracteres aleatórios%
Palavra-chave software

Servidor: warszawa**********
Porta: 6667
Canal #chimera
Nickname: Nick%dois caracteres aleatórios%
Palavra-chave software


– Para além disso tem a capacidade de executar as seguintes acções:
    • Liga-se ao servidor de IRC
    • Desliga-se do servidor de IRC
    • Download de ficheiros
    • Executa o ficheiro
    • Ligação ao canal IRC
    • Abandona canais IRC
    • Ataque de Negação de Serviços (ataque DoS)
    • Envia emails
    • Inicia o keylog
    • Actualiza-se a ele próprio

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Daniel Constantin em quarta-feira, 8 de fevereiro de 2006
Descrição atualizada por Andrei Ivanes em quarta-feira, 15 de fevereiro de 2006

Voltar . . . .