Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
Nome del virus:Worm/Dorkbot.I.385
Scoperto:07/05/2012
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
Dimensione del file:947.200 Byte
Somma di controllo MD5:e8e2ba08f9aff27eed45daa8dbde6159
Versione VDF:7.11.29.80 - lunedì 7 maggio 2012
Versione IVDF:7.11.29.80 - lunedì 7 maggio 2012

 Generale Metodi di propagazione:
   • Funzione di esecuzione automatica
   • Rete locale
   • Messenger


Alias:
   •  Kaspersky: Trojan.Win32.Bublik.jdb
   •  Sophos: Troj/Agent-YCW
   •  Eset: Win32/Dorkbot.B worm
   •  GData: Trojan.Generic.KDV.750742
   •  DrWeb: BackDoor.IRC.NgrBot.42
   •  Norman: Trojan W32/Injector.BMHF


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effetti secondari:
   • Si può utilizzare per modificare le impostazioni del sistema che autorizzano o ingigantiscono il comportamento di potenziali malware.
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %appdata%\%stringa casuale di sei caratteri%.exe



Viene creato il seguente file:

– %appdata%\%1 digit random character string%.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Bwzizj"="%appdata%\%stringa casuale di sei caratteri%.exe"

 Varie Collegamento a internet:
Per verificare la propria connessione internet, vengono contattati i seguenti server DNS:
   • s177.hot**********.com
   • venus.time**********.pl


Event handler:
Crea i seguenti Event handler:
   • ReadProcessMemory
   • WriteProcessMemory
   • CreateRemoteThread
   • InternetReadFile
   • URLDownlaodToFile
   • InternetOpenURL
   • InternetOpen
   • CreateFile
   • GetAsyncKeyState


Stringa:
In più contiene le seguenti stringhe:
   • SYN]: Starting flood on "%s:%d" for %d second(s)
   • UDP]: Starting flood on "%s:%d" for %d second(s)
   • HTTP]: Updated HTTP spread interval to "%s"
   • MSN]: Updated MSN spread message to "%s
   • facebook.*/ajax/chat/send.php*
   • friendster.*/sendmessage.php*
   • secure.logmein.*/*logincheck*
   • google.*/*ServiceLoginAuth*
   • screenname.aol.*/login.psp*
   • sms4file.com/*/signin-do*
   • vip-file.com/*/signin-do*
   • moneybookers.*/*login.pl
   • torrentleech.org/*login*
   • webnames.ru/*user_login*
   • bigstring.*/*index.php*
   • login.live.*/*post.srf*
   • depositfiles.*/*/login*
   • thepiratebay.org/login*
   • MSN-> Message Pwned :)!
   • MSN-> Done, MSG is sent
   • DNS]: Blocked DNS "%s"
   • login.yahoo.*/*login*
   • facebook.*/login.php*
   • runescape*/*weblogin*
   • mediafire.com/*login*
   • vkontakte.ru/api.php
   • friendster.*/rpc.php
   • icon=shell32.dll,7
   • steampowered*/login*
   • twitter.com/sessions
   • megaupload.*/*login*
   • sendspace.com/login*
   • 4shared.com/login*
   • hotfile.com/login*
   • netflix.com/*ogin*
   • godaddy.com/login*

 Dettagli del file Linguaggio di programmazione:
Il malware è stato scritto in Borland C++.

Descrição enviada por Wensin Lee em segunda-feira, 8 de outubro de 2012
Descrição atualizada por Wensin Lee em segunda-feira, 8 de outubro de 2012

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.