Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusBDS/IRCBot.DL.105
Data em que surgiu:15/05/2011
Tipo:Servidor Backdoor
Includo na lista "In The Wild"No
Nvel de danos:Baixo
Nvel de distribuio:De baixo a mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:197.280 Bytes
MD5 checksum:4A1376AE66413095000D5DD3544C4128
Verso VDF:7.11.08.22 - domingo, 15 de maio de 2011
Verso IVDF:7.11.08.22 - domingo, 15 de maio de 2011

 Vulgarmente Meio de transmisso:
    Recurso de execuo automtica


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.bwjw
   •  Sophos: Troj/Bckdr-RIR
     Microsoft: Backdoor:Win32/IRCbot.DL
     GData: Worm.Generic.317684
     DrWeb: Trojan.DownLoader2.39345


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows
   • Informao de roubos

 Ficheiros Autocopia-se para a seguinte localizao:
   • %APPDATA%\Microsoft\%uma srie de caracteres aleatrios%.exe

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%uma srie de caracteres aleatrios%.exe"="%APPDATA%\Microsoft\%uma srie de caracteres aleatrios%.exe"

 IRC Para enviar informaes do sistema e permitir controlo remoto liga-se ao servidor de IRC:

Servidor: **********ney.no-ip.info
Porta: 3074
Nickname: %uma srie de caracteres aleatrios%



 Este malware tem a capacidade de recolher e enviar a seguinte informao:
    • Nome de utilizador
    • Informao sobre o sistema operativo Windows


 Para alm disso tem a capacidade de executar as seguintes aces:
     Liga-se ao servidor de IRC
     Desliga-se do servidor de IRC
    • Ligao ao canal IRC
    • Abandona canais IRC

 Backdoor  aberta a seguinte porta:

svchost.exe numa porta UDP 1900 Por forma a fornecer capacidades backdoor.

 Roubos de informao  Palavras-chave guardadas e que so usadas pela funo AutoComplete

As palavras-chave dos seguintes programas:
   • Mozilla Firefox
   • Internet Explorer

 Introduo de cdigo viral noutros processos Introduz-se a si prprio como uma tarefa remota num processo.

    Nome do processo:
   • svchost.exe


 Informaes diversas Mutex:
Cria o seguinte Mutex:
   • HelloDDoser

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Andrei Ilie em terça-feira, 18 de outubro de 2011
Descrição atualizada por Andrei Ilie em quarta-feira, 19 de outubro de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.