Имя:Worm/IRCBot.10790
Обнаружен:09/05/2005
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:10.790 байт.
Контрольная сумма MD5:e3614ba296c9b4a5cd4537c90f072865
Версия VDF:6.31.01.212

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: Backdoor.Win32.IRCBot.fx
   •  Kaspersky: BKDR_IRCBOT.BZ
   •  TrendMicro: W32/Sdbot.LXR
   •  Grisoft: Trojan.DR.IRCBot.DZ1
   •  Eset: Backdoor.IRCBot.FX


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файл
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %WINDIR%\csrss.exe

%WINDIR%\kmc.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/IRCBot.8402

 Реестр Добавляются следующие ключи реестра:

– [HKCR\CLSID\%созданный CLSID%\InProcServer32]
   • @="kmc.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "System"="%созданный CLSID%

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: irc.foofle.net
Порт: 6667
Канал: #sbots_main
Имя: %Имя компьютера%



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Время жизни вредоносной программы
    • Информация о сети
    • Информация об операционной системе Windows
    • Загрузить файл
    • Войти в чат-комнату IRC
    • Остановить процесс
    • Открытие удаленного интерфейса
    • Проверка сети
    • Перезапустить систему
    • Закрыть потенциально опасную программу
    • Остановить процесс
    • Обновляется самостоятельно
    • Загрузить файл
    • Посещение веб-страницы

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Razvan Olteanu в(о) вторник, 15 ноября 2005 г.
Описание обновил Andrei Ivanes в(о) среда, 23 ноября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.