Имя:Worm/IRCBot.38400
Обнаружен:01/03/2006
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От среднего до высокого
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:38.400 байт.
Контрольная сумма MD5:95965ebb920D87dac65880ac9af846c2
Версия VDF:6.33.01.41
Версия IVDF:6.33.01.42 - среда, 1 марта 2006 г.

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Kaspersky: Backdoor.Win32.IRCBot.pd
   •  TrendMicro: WORM_TIRBOT.G
   •  Sophos: Troj/IRCBot-PD
   •  Bitdefender: Backdoor.TirBot.F


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файл
   • Изменение реестра
   • Использует уязвимость ПО
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\MSDTCs.exe



Создается файл:

– Незараженный файл:
   • %WINDIR%\msi486.dll

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • IECheck="%SYSDIR%\MSDTCs.exe"

 Сетевое инфицирование Эксплойт:
Используется следующая брешь в безопасности:
– MS04-011 (Уязвимость LSASS)


Генарация IP адресов:
Создаются случайные IP адреса и производится попытка установить соединение с этим адресом.

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: r3v3ng3.**********
Порт: 6667
Канал: r1sUn10n

Сервер: r3v3ng3.**********
Порт: 6667
Канал: r1sUn10n

Сервер: mast4.**********
Порт: 6667
Канал: r1sUn10n

Сервер: squ4r3s.**********
Порт: 6667
Канал: r1sUn10n



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Скорость процессора
    • Текущий пользователь
    • Информация о драйвере
    • Свободное место на диске
    • Свободная оперативная память
    • Время жизни вредоносной программы
    • Информация о запущенных процессах
    • Объем памяти
    • Имя пользователя
    • папка Windows
    • Информация об операционной системе Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Запускается DDoS UDP атака
    • Загрузить файл
    • Редактировать реестр
    • Запустить файл
    • Остановить процесс
    • Произвести DDoS атаку
    • Запуск процедуры распространения
    • Закрыть потенциально опасную программу
    • Остановить процесс
    • Обновляется самостоятельно
    • Загрузить файл

 Разное Мьютекс:
Создается мьютекс:
   • 1nUr4ssH0l3

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.

Описание добавил Ernest Szocs в(о) среда, 3 октября 2007 г.
Описание обновил Ernest Szocs в(о) четверг, 4 октября 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.