VírusWorm/IRCBot.52736.4
Data em que surgiu:01/07/2007
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:52.736 Bytes
MD5 checksum:ee3ed79ffb63344b6e50458b68a7814a
Versão VDF:6.39.00.78

 Vulgarmente Meio de transmissão:
   • Messenger


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.acd
   •  F-Secure: Backdoor.Win32.IRCBot.acd
   •  Sophos: W32/IRCBot-WV
   •  Panda: W32/IrcBot.AYK.worm
   •  Eset: Win32/IRCBot.XW trojan


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros  Copia-se dentro de um ficheiro para a localização seguinte:
   • %WINDIR%\myalbum2007.zip



É criado o seguinte ficheiro:

– Ficheiro não malicioso:
   • %HOME%\new.txt

%SYSDIR%\sysprinters.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/IRCBot.24040

 Registry (Registo do Windows) São adicionadas as seguintes chaves ao registo:

– [HKCR\CLSID\{2E578F88-6425-4398-AB42-FF58EAA2566D}\InProcServer32]
   • @="sysprinters.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "system32"="{2E578F88-6425-4398-AB42-FF58EAA2566D}"

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– Windows Live Messenger


Para:
Todas as entradas na lista de contactos.


Mensagem
A mensagem enviada parece-se com a seguinte:

   • Here are my very secret pictures for you.
     Here are my pictures from my vacation
     hmm is this you on the photo ?
     Check out my pics from my workplace.
     Nice new photos of me and my friends and stuff...
     ahh look this is my greatest picture made on vacation 2007, take a look
     Check out my nice photo album. :D
     hey regarde les tof de notre bande de fous. :p
     hey c'est toi dans ces tof!!???
     hey regarde les tof, c'est moi et mes copains entrain de.... :D
     j'ai fais pour toi cet album de photos tu dois le voire :p
     stp regarde cet album de photos je lai fais specialement pour toi et mes amis...
     mes photos chaudes :D
     t'as pas encore vu ces tof???
     hey kijk eens naar mijn nieuwe foto album
     hey bekijk eens mijn nieuwe foto album
     hmm ben jij dit op de foto ?
     hey kijk ! dit is een lijst van mijn nieuwste fotos !!
     ahh kijk mijn mooiste foto album van vakantie 2007 bekijk ze eens :p
     kijk dit zijn fotos van mij werkplek! :)
     meine hei
     en Fotos ! :p
     le mie foto calde :p
     mis fotos calientes
     mi fotografias :p
     Mi amigo tom
     las fotos agradables de m :p
     mis fotos calientes
     el lol mi hermana quisiera que le enviara este


Propagação por ficheiro
Envia um ficheiro com o seguinte nome :
   • %WINDIR%\myalbum2007.zip


A mensagem recebida tem a seguinte aparência:


 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: www.free4**********.net
Porta: 80
Canal #.mafia
Nickname: new[USA][0H]%uma série de caracteres aleatórios%

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %SYSDIR%\sysprinters.dll


– Introduz uma rotina Backdoor num processo.

    Nome do processo:
   • EXPLORER.EXE


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.

Descrição enviada por Alexandru Dinu em terça-feira, 10 de julho de 2007
Descrição atualizada por Alexandru Dinu em terça-feira, 10 de julho de 2007

Voltar . . . .