VírusWorm/IRCBot.38400
Data em que surgiu:01/03/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De médio a elevado
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:38.400 Bytes
MD5 checksum:95965ebb920D87dac65880ac9af846c2
Versão VDF:6.33.01.41
Versão IVDF:6.33.01.42 - quarta-feira, 1 de março de 2006

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.pd
   •  TrendMicro: WORM_TIRBOT.G
   •  Sophos: Troj/IRCBot-PD
   •  Bitdefender: Backdoor.TirBot.F


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\MSDTCs.exe



É criado o seguinte ficheiro:

– Ficheiro não malicioso:
   • %WINDIR%\msi486.dll

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • IECheck="%SYSDIR%\MSDTCs.exe"

 Infecção da rede  Exploit:
Faz uso do seguinte Exploit:
– MS04-011 (LSASS Vulnerability)


Criação de endereços IP:
Cria endereços IP aleatórios e tenta estabelecer uma ligação com eles.

 IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: r3v3ng3.**********
Porta: 6667
Canal r1sUn10n

Servidor: r3v3ng3.**********
Porta: 6667
Canal r1sUn10n

Servidor: mast4.**********
Porta: 6667
Canal r1sUn10n

Servidor: squ4r3s.**********
Porta: 6667
Canal r1sUn10n



– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Velocidade do CPU
    • Utilizador Actual
    • Detalhes acerca dos drivers
    • Espaço disponível no disco
    • Memória disponível
    • Tempo de vida do malware
    • Informação sobre processos em execução
    • Capacidade da memória
    • Nome de utilizador
    • Directório do Windows
    • Informação sobre o sistema operativo Windows


– Para além disso tem a capacidade de executar as seguintes acções:
    • Lança DDoS UDP floods
    • Download de ficheiros
    • Editar o registo do Windows
    • Executa o ficheiro
    • Termina processos
    • Ataque de Negação de Serviços (ataque DoS)
    • Inicia a rotina de propagação
    • Termina o malware
    • Termina processos
    • Actualiza-se a ele próprio
    • Upload de ficheiros

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • 1nUr4ssH0l3

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.

Descrição enviada por Ernest Szocs em quarta-feira, 3 de outubro de 2007
Descrição atualizada por Ernest Szocs em quinta-feira, 4 de outubro de 2007

Voltar . . . .