English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/IRCBot.9374
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/IRCBot.9374 - Worm
Ver também
Sumário
Descrição completa
Estatísticas
How would you rate this information?
Worthless
Excellent
Vírus
Worm/IRCBot.9374
Número CME:
762
Data em que surgiu:
13/08/2006
Tipo:
Worm
Incluído na lista "In The Wild"
Sim
Nível de danos:
Baixo
Nível de distribuição:
De médio a elevado
Nível de risco:
Médio
Ficheiro estático:
Sim
Tamanho:
9.374 Bytes
MD5 checksum:
2BF2A4F0BDAC42F4D6F8A062A7206797
Versão VDF:
6.35.01.85
Versão IVDF:
6.35.01.85
Vulgarmente
Meio de transmissão:
• Rede local
• Messenger
Alias:
• Symantec: Backdoor.IRC.Bot
• Mcafee: IRC-Mocbot!MS06-040
• Kaspersky: Backdoor.Win32.IRCBot.st
• TrendMicro: WORM_IRCBOT.JK
• F-Secure: Backdoor.Win32.IRCBot.st
• Bitdefender: Backdoor.IRCBot.ST
Sistemas Operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efeitos secundários:
• Desactiva aplicações de segurança
• Baixa as definições de segurança
• Altera o registo do Windows
• Aproveita-se de vulnerabilidades do software
• Possibilita acesso não autorizado ao computador
Ficheiros
Autocopia-se para a seguinte localização:
•
%SYSDIR%
\wgavm.exe
Apaga a cópia executada inicialmente.
Registry (Registo do Windows)
Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:
– [HKLM\SYSTEM\CurrentControlSet\Services\wgavm]
• Type = 110
• Start = 2
• ErrorControl = 0
• ImagePath =
%SYSDIR%
\wgavm.exe
• DisplayName = Windows Genuine Advantage Validation Monitor
• ObjectName = LocalSystem
• FailureActions =
%valores hex%
• Description = Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.
– [HKLM\SYSTEM\CurrentControlSet\Services\wgavm\Security]
• Security =
%valores hex%
– [HKLM\SYSTEM\CurrentControlSet\Services\wgavm\Enum]
• 0 = Root\LEGACY_WGAVM\0000
• Count = 1
• NextInstance = 1
Altera as seguintes chaves de registo do Windows:
– [HKLM\SOFTWARE\Microsoft\Ole]
Valor anterior:
• EnableDCOM =
%definições do utilizador %
Valor recente:
• EnableDCOM = n
– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
Valor anterior:
• restrictanonymous =
%definições do utilizador %
• restrictanonymoussam =
%definições do utilizador %
Valor recente:
• restrictanonymous = 1
• restrictanonymoussam = 1
– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
Valor recente:
• autoshareserver = 0
• autosharewks = 0
– [HKLM\SOFTWARE\Microsoft\security center]
Valor anterior:
• antivirusdisablenotify =
%definições do utilizador %
• antivirusoverride =
%definições do utilizador %
• firewalldisablenotify =
%definições do utilizador %
• firewalldisableoverride =
%definições do utilizador %
Valor recente:
• antivirusdisablenotify = 1
• antivirusoverride = 1
• firewalldisablenotify = 1
• firewalldisableoverride = 1
Desactiva a Firewall do Windows
– [HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\domainprofile]
Valor anterior:
• enablefirewall =
%definições do utilizador %
Valor recente:
• enablefirewall = 0
– [HKLM\SOFTWARE\Policies\Microsoft\windowsfirewall\standardprofile]
Valor anterior:
• enablefirewall =
%definições do utilizador %
Valor recente:
• enablefirewall = 0
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
Valor anterior:
• Start =
%definições do utilizador %
Valor recente:
• Start = 4
Messenger
Propaga-se através do Messenger. Tem as seguintes características:
– AIM Messenger
Infecção da rede
Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.
Exploit:
Faz uso do seguinte Exploit:
–
MS06-040
(Vulnerability in Server Service)
IRC
Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:
Servidor: bniu.house**********
Porta: 18067
Canal #n0
Nickname: n0-
%uma série de caracteres aleatórios%
Servidor: ypgw.wall**********
Porta: 18067
Canal #n0
Nickname: n0-
%uma série de caracteres aleatórios%
– Para além disso tem a capacidade de executar as seguintes acções:
• Lança DDoS SYN floods
• Lança DDoS UDP floods
• Download de ficheiros
• Executa o ficheiro
• Inicia a rotina de propagação
Informações diversas
Mutex:
Cria o seguinte Mutex:
• wgavm
Detalhes do ficheiro
Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.
Veja
aqui
uma breve descrição.
Descrição adicionada por Philipp Wolf em Sun, 13 Aug 2006 15:28 (GMT+1)
Descrição adicionada por Andrei Gherman em Mon, 14 Aug 2006 15:51 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Bagle.FJ
W32/Elkern.C
Worm/Mytob.DH
Worm/Mytob.CR
Worm/Netsky.D.Dam
TR/Dldr.Agent.aizj
JS/Dldr.Small.CR.2
TR/Dldr.Agent.XAE
JS/Dldr.Agent.bbt
HTML/IFrame.800
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/IRCBot.9374
Print this page
.gif)
