Имя:Worm/IrcBot.51200
Обнаружен:05/12/2005
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:51.200 байт.
Контрольная сумма MD5:d3f3dc33be2031c0dcb5d0e5909bb557
Версия IVDF:6.32.01.08 - понедельник, 5 декабря 2005 г.

 Общее Метод распространения:
   • Autorun feature (ru)
   • Messenger


Псевдонимы (аliases):
   •  Panda: W32/IRCBot.CLD.worm
   •  Eset: Win32/AutoRun.Agent.LB
   •  Bitdefender: Backdoor.Bot.87376


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создаются собственные копии:
   • %HOME%\Application Data\ShieldManager.exe
   • %Диск%\.Autorun\835694854683549385398626893468946\Autorun.exe



Выполненная копия программы удаляется.



Создаются следующие файлы:

%Диск%\.Autorun\835694854683549385398626893468946\Desktop.ini
%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   •

 Реестр Создание следующего элемента для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%выполненный файл%"="%выполненный
      файл%:*:Enabled:Microsoft Shield Manager"



Изменяются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   Новое значение:
   • "Microsoft Shield Manager"="%HOME%\Application Data\ShieldManager.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   Новое значение:
   • "Microsoft Shield Manager"="%HOME%\Application Data\ShieldManager.exe"

 Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– MSN Messenger
– Yahoo Messenger


Сообщение
Отправленное сообщение выглядит следующим образом:

   • meinst du das ernst?
     ich hoffe es gef?llt dir
     das ist geil
     bist du das?
     du bist echt sexy
     haha das ist sooo lustig
     kennst du das?
     est
     s en serio??? :S:S
     no sab
     a que te metias cosas asi :S
     esto es horrible :S
     alguien dijo que eras tu
     eres tu de verdad?
     tu eres realmente sexi ;)
     jajaja esto es muy divertido
     encontr
      esto... te resulta familiar?
     check this one
     hehe!
     i find this one really funny :)
     is this really you???
     did you take this picture?
     who is this?
      voc
      s
     rio??? :S:S
     eu n
     o soube que voc
      apreciou o material como este:S
     isto
      horr
     vel:S
     algu
     m disse que este era voc
      isto realmente voc
     voc
      realmente sexy ;)
     o hahaha isto
      t
     o engra
     ado
     eu encontrei que isto olha familiar??
     t'es serieu la?
     je savais pas que t'aimait ce genre de truc
     c'est horrible ahah
     qqn m'a dit que c'
     tait toi
     c'est vraiment toi ou!?
     lol vraiment pas mal
     hehe detta
     r roligt
     kolla det h
     haha roligt :D
     hehe gjorde du detta?
     jag visste inte att du gillade s
     nt h
     r :S
     r detta du?
     bent u ernstig??? :S:S
     ik wist niet u van materiaal als dit genoot :S
     dit is afschuwelijk :S
     iemand zei dit u was
     dit is werkelijk u?
     u bent werkelijk sexy ;)
     hahaha dit is zo grappig
     ik vond dit het? vertrouwd kijkt?
     :D
     ;)
     :D ACCEPT!
     ;)(L)
     :P
     lol
     hm?
     pic?

URL ссылается на копию описанного вредоносного ПО. Процесс инфицирования повторяется каждый раз при запуске загруженного файла на компьютере пользователя.

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: irc.yo**********.co.uk
Порт: 3328
Канал: #th3msn
Имя: [USA|00|XP||%Число%]

 Разное Строка:
Здесь содержатся следующие последовательности:
   • %s Sent text to: %d contacts.
   • %s Sent file to %d contacts.
   • %s Sent text to %d contacts.
   • %s Sent file to %d contacts.

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) пятница, 5 марта 2010 г.
Описание обновил Petre Galan в(о) пятница, 5 марта 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.