Worm/IRCBot.38400 - Worm

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	Worm/IRCBot.38400
Data em que surgiu:	01/03/2006
Tipo:	Worm
Incluído na lista "In The Wild"	Sim
Nível de danos:	Baixo
Nível de distribuição:	De médio a elevado
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	38.400 Bytes
MD5 checksum:	95965ebb920D87dac65880ac9af846c2
Versão VDF:	6.33.01.41
Versão IVDF:	6.33.01.42

Vulgarmente Meio de transmissão:
   • Rede local

Alias:
   • Kaspersky: Backdoor.Win32.IRCBot.pd
   • TrendMicro: WORM_TIRBOT.G
   • Sophos: Troj/IRCBot-PD
   • Bitdefender: Backdoor.TirBot.F

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega um ficheiro
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
• %SYSDIR%\MSDTCs.exe

É criado o seguinte ficheiro:

– Ficheiro não malicioso:
• %WINDIR%\msi486.dll

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• IECheck="%SYSDIR%\MSDTCs.exe"

Infecção da rede Exploit:
Faz uso do seguinte Exploit:
– MS04-011 (LSASS Vulnerability)

Criação de endereços IP:
Cria endereços IP aleatórios e tenta estabelecer uma ligação com eles.

IRC Para enviar informação do sistema e permitir controlo remoto liga-se aos servidores de IRC:

Servidor: r3v3ng3.**********
Porta: 6667
Canal r1sUn10n

Servidor: r3v3ng3.**********
Porta: 6667
Canal r1sUn10n

Servidor: mast4.**********
Porta: 6667
Canal r1sUn10n

Servidor: squ4r3s.**********
Porta: 6667
Canal r1sUn10n

– Este malware tem a capacidade de recolher e enviar a seguinte informação:
    • Velocidade do CPU
    • Utilizador Actual
    • Detalhes acerca dos drivers
    • Espaço disponível no disco
    • Memória disponível
    • Tempo de vida do malware
    • Informação sobre processos em execução
    • Capacidade da memória
    • Nome de utilizador
    • Directório do Windows
    • Informação sobre o sistema operativo Windows

– Para além disso tem a capacidade de executar as seguintes acções:
    • Lança DDoS UDP floods
    • Download de ficheiros
    • Editar o registo do Windows
    • Executa o ficheiro
    • Termina processos
    • Ataque de Negação de Serviços (ataque DoS)
    • Inicia a rotina de propagação
    • Termina o malware
    • Termina processos
    • Actualiza-se a ele próprio
    • Upload de ficheiros

Informações diversas Mutex:
Cria o seguinte Mutex:
• 1nUr4ssH0l3

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.

Veja aqui uma breve descrição.

Descrição adicionada por Ernest Szocs em Wed, 03 Oct 2007 10:47 (GMT+1)
Descrição adicionada por Ernest Szocs em Thu, 04 Oct 2007 12:33 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back