Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:Worm/IRCBot.aak
Обнаружен:19/07/2007
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:75.549 байт.
Контрольная сумма MD5:4629915b7e40dddedf7deeb07ced5784
Версия VDF:6.39.00.34 - вторник, 19 июня 2007 г.
Версия IVDF:6.39.00.34 - вторник, 19 июня 2007 г.

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Mcafee: W32/Sdbot.worm.gen.l
   •  Kaspersky: Backdoor.Win32.IRCBot.aak
   •  F-Secure: Backdoor.Win32.IRCBot.aak
   •  Panda: Trj/Mailbot.CE
   •  Eset: Win32/IRCBot.XN
   •  Bitdefender: Backdoor.RBot.BTK


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Использует собственный почтовый движок
   • Изменение реестра

 Файлы Создается собственная копия:
   • %SYSDIR%\mdmd.exe



Выполненная копия программы удаляется.



Создается файл:

%SYSDIR%\helpermdmd.exe После полного завершения процесса создания он запускается на выполнение. Определен как: TR/Proxy.Slaper.E.51

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "melg34"="%SYSDIR%\mdmd.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "melg34"="%SYSDIR%\mdmd.exe"

 Backdoor Устанавливает соединение с сервером
Следующий:
   • l4.penny**********:24104

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления.

Возможности удаленного контроля:
    • Отправить электронную почту

 Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Описание добавил Ana Maria Niculescu в(о) среда, 3 октября 2007 г.
Описание обновил Ana Maria Niculescu в(о) четверг, 4 октября 2007 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.