Имя:Worm/IRCBot.52736.4
Обнаружен:01/07/2007
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:52.736 байт.
Контрольная сумма MD5:ee3ed79ffb63344b6e50458b68a7814a
Версия VDF:6.39.00.78

 Общее Метод распространения:
   • Messenger


Псевдонимы (аliases):
   •  Kaspersky: Backdoor.Win32.IRCBot.acd
   •  F-Secure: Backdoor.Win32.IRCBot.acd
   •  Sophos: W32/IRCBot-WV
   •  Panda: W32/IrcBot.AYK.worm
   •  Eset: Win32/IRCBot.XW trojan


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает потенциально опасный файл
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы  Создается архив со своей собственной копией внутри:
   • %WINDIR%\myalbum2007.zip



Создается файл:

– Незараженный файл:
   • %HOME%\new.txt

%SYSDIR%\sysprinters.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/IRCBot.24040

 Реестр Добавляются следующие ключи реестра:

– [HKCR\CLSID\{2E578F88-6425-4398-AB42-FF58EAA2566D}\InProcServer32]
   • @="sysprinters.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "system32"="{2E578F88-6425-4398-AB42-FF58EAA2566D}"

 Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– Windows Live Messenger


Кому:
Все записи из списка контактов.


Сообщение
Отправленное сообщение выглядит следующим образом:

   • Here are my very secret pictures for you.
     Here are my pictures from my vacation
     hmm is this you on the photo ?
     Check out my pics from my workplace.
     Nice new photos of me and my friends and stuff...
     ahh look this is my greatest picture made on vacation 2007, take a look
     Check out my nice photo album. :D
     hey regarde les tof de notre bande de fous. :p
     hey c'est toi dans ces tof!!???
     hey regarde les tof, c'est moi et mes copains entrain de.... :D
     j'ai fais pour toi cet album de photos tu dois le voire :p
     stp regarde cet album de photos je lai fais specialement pour toi et mes amis...
     mes photos chaudes :D
     t'as pas encore vu ces tof???
     hey kijk eens naar mijn nieuwe foto album
     hey bekijk eens mijn nieuwe foto album
     hmm ben jij dit op de foto ?
     hey kijk ! dit is een lijst van mijn nieuwste fotos !!
     ahh kijk mijn mooiste foto album van vakantie 2007 bekijk ze eens :p
     kijk dit zijn fotos van mij werkplek! :)
     meine hei
     en Fotos ! :p
     le mie foto calde :p
     mis fotos calientes
     mi fotografias :p
     Mi amigo tom
     las fotos agradables de m :p
     mis fotos calientes
     el lol mi hermana quisiera que le enviara este


Распространение через файлы
Отправляется файл со следующим именем:
   • %WINDIR%\myalbum2007.zip


Полученное сообщение может выглядеть следующим образом:


 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: www.free4**********.net
Порт: 80
Канал: #.mafia
Имя: new[USA][0H]%случайная буквенная комбинация%

 Инфицирование –  Следующий файл вставляется в процесс: %SYSDIR%\sysprinters.dll


– Backdoor-процедура вставляется в процесс.

    Имя процесса:
   • EXPLORER.EXE


 Данные файла Язык программирования:
 Программа была написана на Delphi.

Описание добавил Alexandru Dinu в(о) вторник, 10 июля 2007 г.
Описание обновил Alexandru Dinu в(о) вторник, 10 июля 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.