Nume:Worm/IrcBot.19968.20
Descoperit pe data de:05/05/2008
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:19.968 Bytes
MD5:175528310Da902dbbe27f005815a2b79
Versiune VDF:7.0.04.015
Versiune IVDF:7.0.04.016

 General Metoda de raspandire:
   • Messenger


Alias:
   •  Mcafee: W32/IRCbot.gen.a
   •  Kaspersky: Backdoor.Win32.IRCBot.cud
   •  F-Secure: Backdoor.Win32.IRCBot.cud
   •  Grisoft: BackDoor.Ircbot.EDV
   •  Eset: Win32/IRCBot
   •  Bitdefender: Backdoor.IRCBot.ABYQ


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Blocheaza accesul la anumite website-uri
   • Blocheaza accesul la website-uri ale firmelor de securitate
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\initserv.exe



Sterge copia initiala a virusului.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Initialization Services="initserv.exe"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Windows Live Messenger


Catre:
Toate intrarile din lista de contacte.

 IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverul IRC:

Server: nagasaki.japancorporation.**********
Port: 9103
Parola serverului: su1c1d3
Canal: #net
Nick: \00\USA\%sir de 10 caractere aleatoare%
Parola: n3t!



– Acest malware poate obtine si trimite infomatii cum ar fi:
    • ID-ul platformei
    • Informatii despre sistemul de operare


– In plus, poate efectua urmatoarele operatii:
    • conectare server IRC
    • descarcare fisier
    • editare registru sistem
    • executarea unui fisier
    • parasire canal IRC
    • Porneste rutina de raspandire
    • Vizitarea unui website

 Fisiere host Fisierul

– In acest caz, inregistrarile existente sunt sterse.

– Accesul la urmatoarele domenii este blocat:
   • jayloden.com; www.jayloden.com; www.spywareinfo.com; spywareinfo.com;
      www.spybot.info; spybot.info; kaspersky.com; kaspersky-labs.com;
      www.kaspersky.com; www.majorgeeks.com; majorgeeks.com;
      securityresponse.symantec.com; symantec.com; www.symantec.com;
      updates.symantec.com; liveupdate.symantecliveupdate.com;
      liveupdate.symantec.com; customer.symantec.com; update.symantec.com;
      www.sophos.com; sophos.com; www.virustotal.com; virustotal.com;
      www.mcafee.com; mcafee.com; rads.mcafee.com; mast.mcafee.com;
      download.mcafee.com; dispatch.mcafee.com; us.mcafee.com;
      www.trendsecure.com; trendsecure.com; www.viruslist.com;
      viruslist.com; www.hijackthis.de; hijackthis.de; f-secure.com;
      www.f-secure.com; Merijn.org; www.Merijn.org; www.avp.com; avp.com;
      analysis.seclab.tuwien.ac.at; www.bleepingcomputer.com;
      bleepingcomputer.com; trendmicro.com; www.trendmicro.com;
      www.safer-networking.org; safer-networking.org; grisoft.com;
      www.grisoft.com




Fisierul hosts modificat va arata astfel:


 Tehnologie Rootkit  Este o tehnologie specifica malware. Acesta se ascunde de programele sistemului, de aplicatiile de securitate si in cele din urma, de utilizator.


Ascunde urmatoarele:
– Propriul proces

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Descrição enviada por Monica Ghitun em quinta-feira, 7 de agosto de 2008
Descrição atualizada por Andrei Gherman em quarta-feira, 20 de agosto de 2008

Voltar . . . .