Имя:TR/IRCBot.MX
Обнаружен:20/01/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:196.608 байт.
Контрольная сумма MD5:1a8676220F19f1b0052dc59fac6ad94f
Версия VDF:6.33.00.144

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Backdoor.Win32.IRCBot.mx
   •  TrendMicro: BKDR_IRCBOT.DU
   •  Bitdefender: Backdoor.IRCBot.MX

Ранее были обнаружены как:
   •  Worm/IRCBot.MX


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Использует собственный почтовый движок
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\SysCfg.exe



Выполненная копия программы удаляется.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SysCfg" = "%SYSDIR%\SysCfg.exe"



Добавляется следующий ключ реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   • "kl" = dword:00000000
   • "keep1" = dword:00000000
   • "keepnick1" = "r"
   • "name1" = "Realname"
   • "user1" = "user"
   • "nick1" = "Nick%случайная комбинация из двух букв%"
   • "port1" = "6667"
   • "server1" = %IRC сервер%

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: irc.lub**********
Порт: 6667
Канал: #chimera
Имя: Nick%случайная комбинация из двух букв%
Пароль: software

Сервер: open.pl.irc**********
Порт: 6667
Канал: #chimera
Имя: Nick%случайная комбинация из двух букв%
Пароль: software

Сервер: poznan.i**********
Порт: 6667
Канал: #chimera
Имя: Nick%случайная комбинация из двух букв%
Пароль: software

Сервер: warszawa**********
Порт: 6667
Канал: #chimera
Имя: Nick%случайная комбинация из двух букв%
Пароль: software


– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • разорвать соединение с IRC сервером
    • Загрузить файл
    • Запустить файл
    • Войти в чат-комнату IRC
    • Покинуть чат-комнату IRC
    • Произвести DDoS атаку
    • Отправить электронную почту
    • Запуск программы контроля клавиатуры
    • Обновляется самостоятельно

 Данные файла Язык программирования:
 Программа была написана на Delphi.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Daniel Constantin в(о) среда, 8 февраля 2006 г.
Описание обновил Andrei Ivanes в(о) среда, 15 февраля 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.