English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/IRCBot.9609
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/IRCBot.9609 - Worm
Ver também
Sumário
Descrição completa
Estatísticas
How would you rate this information?
Worthless
Excellent
Vírus
Worm/IRCBot.9609
Número CME:
482
Data em que surgiu:
13/08/2006
Tipo:
Worm
Incluído na lista "In The Wild"
Sim
Nível de danos:
Baixo
Nível de distribuição:
De médio a elevado
Nível de risco:
Médio
Ficheiro estático:
Sim
Tamanho:
9.609 Bytes
MD5 checksum:
9928A1E6601CF00D0B7826D13FB556F0
Versão VDF:
6.35.01.85
Versão IVDF:
6.35.01.85
Vulgarmente
Meios de transmissão:
• Rede local
• Messenger
Alias:
• Symantec: Backdoor.IRC.Bot
• Mcafee: IRC-Mocbot!MS06-040
• Kaspersky: Backdoor.Win32.IRCBot.st
• TrendMicro: WORM_IRCBOT.JK
• F-Secure: Backdoor.Win32.IRCBot.st
Sistemas Operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efeitos secundários:
• Desactiva aplicações de segurança
• Baixa as definições de segurança
• Altera o registo do Windows
• Aproveita-se de vulnerabilidades do software
• Possibilita acesso não autorizado ao computador
Ficheiros
Autocopia-se para a seguinte localização:
•
%SYSDIR%
\wgareg.exe
Apaga a cópia executada inicialmente.
Registry (Registo do Windows)
Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:
– [HKLM\SYSTEM\CurrentControlSet\Services\wgareg]
• Type = 110
• Start = 2
• ErrorControl = 0
• ImagePath =
%SYSDIR%
\wgareg.exe
• DisplayName = Windows Genuine Advantage Registration Service
• ObjectName = LocalSystem
• FailureActions =
%valores hex%
• Description = Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.
– [HKLM\SYSTEM\CurrentControlSet\Services\wgareg\Security]
• Security =
%valores hex%
– [HKLM\SYSTEM\CurrentControlSet\Services\wgareg\Enum]
• 0 = Root\LEGACY_WGAREG\0000
• Count = 1
• NextInstance = 1
Altera as seguintes chaves de registo do Windows:
– [HKLM\SOFTWARE\Microsoft\Ole]
Valor anterior:
• EnableDCOM =
%definições do utilizador %
Valor recente:
• EnableDCOM = n
– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
Valor anterior:
• restrictanonymous =
%definições do utilizador %
• restrictanonymoussam =
%definições do utilizador %
Valor recente:
• restrictanonymous = 1
• restrictanonymoussam = 1
– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
Valor recente:
• autoshareserver = 0
• autosharewks = 0
– [HKLM\SOFTWARE\Microsoft\security center]
Valor anterior:
• antivirusdisablenotify =
%definições do utilizador %
• antivirusoverride =
%definições do utilizador %
• firewalldisablenotify =
%definições do utilizador %
• firewalldisableoverride =
%definições do utilizador %
Valor recente:
• antivirusdisablenotify = 1
• antivirusoverride = 1
• firewalldisablenotify = 1
• firewalldisableoverride = 1
Desactiva a Firewall do Windows
– [HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\domainprofile]
Valor anterior:
• enablefirewall =
%definições do utilizador %
Valor recente:
• enablefirewall = 0
– [HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\standardprofile]
Valor anterior:
• enablefirewall =
%definições do utilizador %
Valor recente:
• enablefirewall = 0
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
Valor anterior:
• Start =
%definições do utilizador %
Valor recente:
• Start = 4
Messenger
Propaga-se através do Messenger. Tem as seguintes características:
– AIM Messenger
Infecção da rede
Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.
Exploit:
Faz uso do seguinte Exploit:
–
MS06-040
(Vulnerability in Server Service)
IRC
Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:
Servidor: bniu.house**********
Porta: 18067
Canal #n1
Nickname: n1-
%uma série de caracteres aleatórios%
Palavra-chave nert4mp1
Servidor: ypgw.wall**********
Porta: 18067
Canal #n1
Nickname: n1-
%uma série de caracteres aleatórios%
Palavra-chave nert4mp1
– Para além disso tem a capacidade de executar as seguintes acções:
• Lança DDoS SYN floods
• Lança DDoS UDP floods
• Download de ficheiros
• Executa o ficheiro
• Inicia a rotina de propagação
Informações diversas
Mutex:
Cria o seguinte Mutex:
• wgareg
Detalhes do ficheiro
Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.
Veja
aqui
uma breve descrição.
Descrição adicionada por Philipp Wolf em Sun, 13 Aug 2006 15:49 (GMT+1)
Descrição adicionada por Andrei Gherman em Mon, 14 Aug 2006 13:00 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Mytob.AD
Worm/Mytob.AT
Worm/Bagle.FJ
TR/Drop.MuJoin.AF
PHISH/CrediCard
TR/Autorun.afj
BDS/Agent.qfh.1
TR/Dldr.FraudLoa.NC
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/IRCBot.9609
Print this page
.gif)
