Имя:Worm/IrcBot.39424.10
Обнаружен:16/08/2007
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:50.937 байт.
Контрольная сумма MD5:2863ba796aae0F51f400cbcba8d1cd4b
Версия VDF:6.39.01.10 - четверг, 16 августа 2007 г.
Версия IVDF:6.39.01.10 - четверг, 16 августа 2007 г.

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Kaspersky: Backdoor.Win32.IRCBot.acp
   •  Sophos: W32/IRCBot-XK
   •  Bitdefender: Backdoor.Rbot.XBN


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра
   • Использует уязвимость ПО
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\NSecurity.exe

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Network Security"="%SYSDIR%\NSecurity.exe"



Изменяются следующие ключи реестра:

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Новое значение:
   • "restrictanonymous"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Ole]
   Новое значение:
   • "EnableDCOM"="N"

 Сетевое инфицирование Эксплойт:
Используется следующая брешь в безопасности:
– MS06-040 (Уязвимость в серверной службе)

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: **********.bihsecurity.com
Порт: 2345
Пароль сервера: lamshajze123
Канал: #!lam!
Имя: NT51|%случайная комбинация букв из восьми букв%
Пароль: lamfuck



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Время жизни вредоносной программы
    • Информация о запущенных процессах


– Вредоносная программа обладает способностью выполнять следующие действия:
    • Загрузить файл
    • Запустить файл
    • Войти в чат-комнату IRC
    • Остановить процесс
    • Покинуть чат-комнату IRC
    • Запуск процедуры распространения

 Разное Мьютекс:
Создается мьютекс:
   • rxDecCode.Rizzo_1

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Ernest Szocs в(о) четверг, 8 ноября 2007 г.
Описание обновил Ernest Szocs в(о) четверг, 8 ноября 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.