Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusBDS/IRCBot.EW.16
Data em que surgiu:18/05/2011
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:83.456 Bytes
MD5 checksum:d9b45ea0b23efa5acf702f10992c0ecb
Versão VDF:7.11.08.60 - quarta-feira, 18 de maio de 2011
Versão IVDF:7.11.08.60 - quarta-feira, 18 de maio de 2011

 Vulgarmente Alias:
   •  Kaspersky: Backdoor.Win32.Rosex.k
   •  F-Secure: Backdoor.Win32.Rosex.k
   •  Bitdefender: Trojan.Generic.KDV.138188
   •  GData: Trojan.Generic.KDV.138188
   •  DrWeb: Trojan.DownLoader2.12743


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Possibilita acesso não autorizado ao computador
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %HOME%\Application Data\Microsoft\exploiter.exe

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Windows Hosting Service Login"="%HOME%\Application Data\Microsoft\exploiter.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Windows Hosting Service Login"="%HOME%\Application Data\Microsoft\exploiter.exe"



Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "Microsoft Windows Hosting Service Login"="%HOME%\Application
      Data\Microsoft\exploiter.exe"

 IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: gangbang.low**********.org
Porta: 25343
Canal #!zer0
Nickname: [USA|XP|%uma série de caracteres aleatórios%]

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • 6jtgkfgjuhiggggkjkfh

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 3 de junho de 2011
Descrição atualizada por Andrei Ivanes em sexta-feira, 10 de junho de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.