Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/IRCBot.38400
Data em que surgiu:01/03/2006
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:De mdio a elevado
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:38.400 Bytes
MD5 checksum:95965ebb920D87dac65880ac9af846c2
Verso VDF:6.33.01.41
Verso IVDF:6.33.01.42 - quarta-feira, 1 de março de 2006

 Vulgarmente Meio de transmisso:
   • Rede local


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.pd
   •  TrendMicro: WORM_TIRBOT.G
   •  Sophos: Troj/IRCBot-PD
   •  Bitdefender: Backdoor.TirBot.F


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega um ficheiro
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\MSDTCs.exe



criado o seguinte ficheiro:

Ficheiro no malicioso:
   • %WINDIR%\msi486.dll

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • IECheck="%SYSDIR%\MSDTCs.exe"

 Infeco da rede  Exploit:
Faz uso do seguinte Exploit:
– MS04-011 (LSASS Vulnerability)


Criao de endereos IP:
Cria endereos IP aleatrios e tenta estabelecer uma ligao com eles.

 IRC Para enviar informao do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: r3v3ng3.**********
Porta: 6667
Canal r1sUn10n

Servidor: r3v3ng3.**********
Porta: 6667
Canal r1sUn10n

Servidor: mast4.**********
Porta: 6667
Canal r1sUn10n

Servidor: squ4r3s.**********
Porta: 6667
Canal r1sUn10n



 Este malware tem a capacidade de recolher e enviar a seguinte informao:
    • Velocidade do CPU
    • Utilizador Actual
     Detalhes acerca dos drivers
    • Espao disponvel no disco
    • Memria disponvel
    • Tempo de vida do malware
    • Informao sobre processos em execuo
    • Capacidade da memria
    • Nome de utilizador
    • Directrio do Windows
    • Informao sobre o sistema operativo Windows


 Para alm disso tem a capacidade de executar as seguintes aces:
     Lana DDoS UDP floods
    • Download de ficheiros
    • Editar o registo do Windows
    • Executa o ficheiro
    • Termina processos
    • Ataque de Negao de Servios (ataque DoS)
     Inicia a rotina de propagao
    • Termina o malware
    • Termina processos
     Actualiza-se a ele prprio
    • Upload de ficheiros

 Informaes diversas Mutex:
Cria o seguinte Mutex:
   • 1nUr4ssH0l3

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.

Descrição enviada por Ernest Szocs em quarta-feira, 3 de outubro de 2007
Descrição atualizada por Ernest Szocs em quinta-feira, 4 de outubro de 2007

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.