Имя:Worm/IrcBot.229376.1
Обнаружен:04/07/2006
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:229.376 байт.
Контрольная сумма MD5:2a560ce28707e8ddfc35ec539df1932d
Версия IVDF:6.35.00.115 - вторник, 4 июля 2006 г.

 Общее Метод распространения:
   • Messenger


Псевдонимы (аliases):
   •  Sophos: Mal/VBInject-T
   •  Bitdefender: Trojan.Generic.KD.12598
   •  Eset: Win32/Boberog.AQ


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Позволяет несанкционированно подключиться к компьютеру
   • Снижает уровень настроек безопасности
   • Создает вредоносные файлы
   • Изменение реестра

 Файлы Создается собственная копия:
   • %HOME%\Application Data\msng.exe



Создается файл:

%SYSDIR%\winsvncs.txt



Попытка запустить на выполнение следующий файл:

– Имя файла:
   • "%HOME%\Application Data\msng.exe"

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows System Guard"="%HOME%\Application Data\msng.exe"



Создание следующего элемента для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%HOME%\Application Data\msng.exe"="%HOME%\Application
      Data\msng.exe:*:Enabled:Windows System Guard"

 Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– AIM Messenger
– Yahoo Messenger


Сообщение
Отправленное сообщение может иметь один из следующих видов:

   • olhar para esta foto :D
     se p
      dette bildet :D
     bekijk deze foto :D
     schau mal das foto an :D
     look at this picture :D
     mira esta fotograf
     a :D
     regardez cette photo :D
     guardare quest'immagine :D
     pod
     vejte se na mou fotku :D
     ser p
      dette billede :D
     zd meg a k
     pet :D
     spojrzec na to zdjecie :D
     bu resmi bakmak :D
     katso t
      kuvaa :D
     uita-te la aceasta fotografie :D
     pozrite sa na t
     to fotografiu :D
     titta p
      denna bild :D
     poglej to fotografijo :D
     pogledaj to slike :D
     seen this?? :D

URL ссылается на копию описанного вредоносного ПО. Процесс инфицирования повторяется каждый раз при запуске загруженного файла на компьютере пользователя.

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: u.mai**********.com
Порт: 81
Канал: #newbin#
Имя: n[USA|XP]%Число%

 Данные файла Язык программирования:
 Программа была написана на Visual Basic.

Описание добавил Petre Galan в(о) понедельник, 9 августа 2010 г.
Описание обновил Petre Galan в(о) четверг, 12 августа 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.