VírusWorm/IrcBot.26624
Data em que surgiu:11/12/2007
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:26.624 Bytes
MD5 checksum:7abb7d1dea8635207603bac2acc10813
Versão IVDF:7.00.01.68 - terça-feira, 11 de dezembro de 2007

 Vulgarmente Alias:
   •  Mcafee: W32/IRCbot.gen.ad
   •  Sophos: W32/Autorun-AMP
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/IRCBot.ALM
   •  Bitdefender: Backdoor.Generic.185525


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\svhost.exe



Apaga a cópia executada inicialmente.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SYSTEM\CurrentControlSet\Services\WindowsTelephony]
   • "Description"="Windows Telephony"
   • "DisplayName"="Windows Telephony"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,2E,00,73,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\svhost.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



São adicionadas as seguintes chaves ao registo:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
   WindowsTelephony]
   • "@"="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   WindowsTelephony]
   • "@"="Service"

 Infecção da rede  Exploit:
Faz uso dos seguintes Exploits:
– MS04-007 (ASN.1 Vulnerability)
– MS06-040 (Vulnerability in Server Service)

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: sc.ar**********.org
Porta: 902
Canal #crk
Nickname: [00-USA-XP-%número% ]

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quinta-feira, 4 de março de 2010
Descrição atualizada por Petre Galan em quinta-feira, 4 de março de 2010

Voltar . . . .