Имя:Worm/IrcBot.ljo
Обнаружен:08/07/2010
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:29.696 байт.
Контрольная сумма MD5:893d489a899af1d559eefaca63ea01b9
Версия IVDF:7.10.09.47 - четверг, 8 июля 2010 г.

 Общее Методы распространения:
   • Функция автозапуска
   • Локальная сеть


Псевдонимы (аliases):
   •  Sophos: Mal/IRCBot-B
   •  Bitdefender: Backdoor.SDBot.DGFQ
   •  Eset: Win32/AutoRun.IRCBot.FC


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Позволяет несанкционированно подключиться к компьютеру
   • Создает вредоносные файлы
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %Диск%\autorunme.exe
   • %SYSDIR%\lunchers.exe



Создается файл:

%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

 Реестр Добавляется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]
   • "systemxstuff"="%выполненный файл%"

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.


Эксплойт:
Используются следующие бреши в безопасности:
– MS02-061 (повышение привилегий в SQL Server Web)
– MS03-039 (Переполнение буфера RPCSS Service)
– MS04-007 (Уязвимость ASN.1)
– MS06-040 (Уязвимость в серверной службе)


Генарация IP адресов:
Создаются случайные IP адреса. Первые два блока созданного IP адреса совпадают с реальным собственным. Осуществляется попытка установить соединение с этим адресом.


Удаленная активация:
–Осуществляется попытка запуска вредоносной программы на вновь зараженном компьютере. Это реализируется с помощью функции NetScheduleJobAdd.

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: wff.wel**********.info
Порт: 7000
Канал: #tv#
Имя: [00|USA|XP|%Число%]

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Petre Galan в(о) вторник, 10 августа 2010 г.
Описание обновил Petre Galan в(о) вторник, 10 августа 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.