VírusWorm/IrcBot.229376.1
Data em que surgiu:04/07/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:229.376 Bytes
MD5 checksum:2a560ce28707e8ddfc35ec539df1932d
Versão IVDF:6.35.00.115 - terça-feira, 4 de julho de 2006

 Vulgarmente Meio de transmissão:
   • Messenger


Alias:
   •  Sophos: Mal/VBInject-T
   •  Bitdefender: Trojan.Generic.KD.12598
   •  Eset: Win32/Boberog.AQ


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Possibilita acesso não autorizado ao computador
   • Baixa as definições de segurança
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %HOME%\Application Data\msng.exe



É criado o seguinte ficheiro:

%SYSDIR%\winsvncs.txt



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • "%HOME%\Application Data\msng.exe"

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows System Guard"="%HOME%\Application Data\msng.exe"



Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%HOME%\Application Data\msng.exe"="%HOME%\Application
      Data\msng.exe:*:Enabled:Windows System Guard"

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– AIM Messenger
– Yahoo Messenger


Mensagem
A mensagem enviada parece-se com uma das seguintes:

   • olhar para esta foto :D
     se p
      dette bildet :D
     bekijk deze foto :D
     schau mal das foto an :D
     look at this picture :D
     mira esta fotograf
     a :D
     regardez cette photo :D
     guardare quest'immagine :D
     pod
     vejte se na mou fotku :D
     ser p
      dette billede :D
     zd meg a k
     pet :D
     spojrzec na to zdjecie :D
     bu resmi bakmak :D
     katso t
      kuvaa :D
     uita-te la aceasta fotografie :D
     pozrite sa na t
     to fotografiu :D
     titta p
      denna bild :D
     poglej to fotografijo :D
     pogledaj to slike :D
     seen this?? :D

O URL aponta para uma cópia do malware descrito. Se o utilizador descarregar e executar este ficheiro terá início o processo de infecção do seu computador.

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: u.mai**********.com
Porta: 81
Canal #newbin#
Nickname: n[USA|XP]%número%

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.

Descrição enviada por Petre Galan em segunda-feira, 9 de agosto de 2010
Descrição atualizada por Petre Galan em quinta-feira, 12 de agosto de 2010

Voltar . . . .