Worm/IRCBot.38400 - Worm

In alte limbi

Scurta descriere

Descriere completa

Statistici

Nume:	Worm/IRCBot.38400
Descoperit pe data de:	01/03/2006
Tip:	Vierme
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Mediu spre ridicat
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	38.400 Bytes
MD5:	95965ebb920D87dac65880ac9af846c2
Versiune VDF:	6.33.01.41
Versiune IVDF:	6.33.01.42

General Metoda de raspandire:
   • Reteaua locala

Alias:
   • Kaspersky: Backdoor.Win32.IRCBot.pd
   • TrendMicro: WORM_TIRBOT.G
   • Sophos: Troj/IRCBot-PD
   • Bitdefender: Backdoor.TirBot.F

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Creeaza un fisier
   • Modificari in registri
   • Profita de vulnerabilitatile softului
   • Posibilitatea accesului neautorizat la computer

Fisiere Se copiaza in urmatoarea locatie:
• %SYSDIR%\MSDTCs.exe

Este creat fisierul:

– Fisier inofensiv:
• %WINDIR%\msi486.dll

Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• IECheck="%SYSDIR%\MSDTCs.exe"

Reţea Exploit:
Foloseste urmatoarea vulnerabilitate:
– MS04-011 (LSASS Vulnerability)

Generarea adreselor IP:
Creeaza adrese IP aleatoare si incearca sa le contacteze.

IRC Pentru a trimite informatii si pentru a fi controlat se conecteaza la serverele IRC:

Server: r3v3ng3.**********
Port: 6667
Canal: r1sUn10n

Server: r3v3ng3.**********
Port: 6667
Canal: r1sUn10n

Server: mast4.**********
Port: 6667
Canal: r1sUn10n

Server: squ4r3s.**********
Port: 6667
Canal: r1sUn10n

– Acest malware poate obtine si trimite infomatii cum ar fi:
    • Viteza procesorului
    • Utilizatorul curent
    • Informatii despre drivere
    • Spatiu liber pe disc
    • Memorie nealocata
    • Timpul de cand malware-ul a fost lansat in executie
    • Informatii despre procesele sistemului
    • Cantitatea de memorie
    • Utilizator
    • Directorul Windows
    • Informatii despre sistemul de operare

– In plus, poate efectua urmatoarele operatii:
    • Lanseaza atacuri DDoS UDP
    • descarcare fisier
    • editare registru sistem
    • executarea unui fisier
    • terminare proces
    • executare atac DDoS
    • Porneste rutina de raspandire
    • terminare proces malware
    • terminare proces
    • Se actualizeaza singur
    • Face upload la un fisier

Alte informatii Mutex:
Creeaza urmatorul mutex:
• 1nUr4ssH0l3

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Pentru o descriere scurta click aici.

Descriere introdusa de Ernest Szocs la Wed, 03 Oct 2007 10:47 (GMT+1)
Descriere actualizata de Ernest Szocs la Thu, 04 Oct 2007 12:33 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back