Полное описание

Имя:	Worm/IrcBot.19968.20
Обнаружен:	05/05/2008
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	От низкого до среднего
Потенциал распространения:	От низкого до среднего
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	19.968 байт.
Контрольная сумма MD5:	175528310Da902dbbe27f005815a2b79
Версия VDF:	7.0.04.015
Версия IVDF:	7.0.04.016

Общее Метод распространения:
   • Messenger

Псевдонимы (аliases):
   • Mcafee: W32/IRCbot.gen.a
   • Kaspersky: Backdoor.Win32.IRCBot.cud
   • F-Secure: Backdoor.Win32.IRCBot.cud
   • Grisoft: BackDoor.Ircbot.EDV
   • Eset: Win32/IRCBot
   • Bitdefender: Backdoor.IRCBot.ABYQ

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Блокирует доступ к различным веб-сайтам
   • Блокирует доступ к веб-страницам IT-security компаний
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

Файлы Создается собственная копия:
• %SYSDIR%\initserv.exe

Выполненная копия программы удаляется.

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
• Microsoft Initialization Services="initserv.exe"

Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– Windows Live Messenger

Кому:
Все записи из списка контактов.

IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: nagasaki.japancorporation.**********
Порт: 9103
Пароль сервера: su1c1d3
Канал: #net
Имя: \00\USA\%случайная десятизначная комбинация букв%
Пароль: n3t!

– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • ID платформы
    • Информация об операционной системе Windows

– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • Загрузить файл
    • Редактировать реестр
    • Запустить файл
    • Покинуть чат-комнату IRC
    • Запуск процедуры распространения
    • Посещение веб-страницы

Хосты Хост файл изменяется следующим образом:

– В этом случае удаляются существующие строки.

– Успешно блокирован доступ к следующим доменам:
   • jayloden.com; www.jayloden.com; www.spywareinfo.com; spywareinfo.com;
      www.spybot.info; spybot.info; kaspersky.com; kaspersky-labs.com;
      www.kaspersky.com; www.majorgeeks.com; majorgeeks.com;
      securityresponse.symantec.com; symantec.com; www.symantec.com;
      updates.symantec.com; liveupdate.symantecliveupdate.com;
      liveupdate.symantec.com; customer.symantec.com; update.symantec.com;
      www.sophos.com; sophos.com; www.virustotal.com; virustotal.com;
      www.mcafee.com; mcafee.com; rads.mcafee.com; mast.mcafee.com;
      download.mcafee.com; dispatch.mcafee.com; us.mcafee.com;
      www.trendsecure.com; trendsecure.com; www.viruslist.com;
      viruslist.com; www.hijackthis.de; hijackthis.de; f-secure.com;
      www.f-secure.com; Merijn.org; www.Merijn.org; www.avp.com; avp.com;
      analysis.seclab.tuwien.ac.at; www.bleepingcomputer.com;
      bleepingcomputer.com; trendmicro.com; www.trendmicro.com;
      www.safer-networking.org; safer-networking.org; grisoft.com;
      www.grisoft.com

Модифицированный хост-файл выглядит следующим образом:

Технология Rootkit Эта технология описывает определенный вид потенциально опасных программ. ПО скрывает свое присутствие от системных программ, программ обеспечения безопасности и от самого пользователя.

Скрывает следующее:
– Собственный процесс

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX

Описание добавил Monica Ghitun в(о) четверг, 7 августа 2008 г.
Описание обновил Andrei Gherman в(о) среда, 20 августа 2008 г.

Назад . . . .