Nume:Worm/IRCBot.38400
Descoperit pe data de:01/03/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:38.400 Bytes
MD5:95965ebb920D87dac65880ac9af846c2
Versiune VDF:6.33.01.41
Versiune IVDF:6.33.01.42 - quarta-feira, 1 de março de 2006

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.pd
   •  TrendMicro: WORM_TIRBOT.G
   •  Sophos: Troj/IRCBot-PD
   •  Bitdefender: Backdoor.TirBot.F


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\MSDTCs.exe



Este creat fisierul:

– Fisier inofensiv:
   • %WINDIR%\msi486.dll

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • IECheck="%SYSDIR%\MSDTCs.exe"

 Reţea Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS04-011 (LSASS Vulnerability)


Generarea adreselor IP:
Creeaza adrese IP aleatoare si incearca sa le contacteze.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: r3v3ng3.**********
Port: 6667
Canal: r1sUn10n

Server: r3v3ng3.**********
Port: 6667
Canal: r1sUn10n

Server: mast4.**********
Port: 6667
Canal: r1sUn10n

Server: squ4r3s.**********
Port: 6667
Canal: r1sUn10n



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
    • Informatii despre drivere
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre procesele sistemului
    • Cantitatea de memorie
    • Utilizator
    • Directorul Windows
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS UDP
    • descarcare fisier
    • editare registru sistem
    • executarea unui fisier
    • terminare proces
    • executare atac DDoS
    • Porneste rutina de raspandire
    • terminare proces malware
    • terminare proces
    • Se actualizeaza singur
    • Face upload la un fisier

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • 1nUr4ssH0l3

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Descrição enviada por Ernest Szocs em quarta-feira, 3 de outubro de 2007
Descrição atualizada por Ernest Szocs em quinta-feira, 4 de outubro de 2007

Voltar . . . .