Нужен совет? Обратитесь за помощью к сообществу или специалистам.
Перейти к Avira Answers
Имя:BDS/IRCBot.DL.105
Обнаружен:15/05/2011
Вид:Backdoor сервер
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:197.280 байт.
Контрольная сумма MD5:4A1376AE66413095000D5DD3544C4128
Версия VDF:7.11.08.22 - воскресенье, 15 мая 2011 г.
Версия IVDF:7.11.08.22 - воскресенье, 15 мая 2011 г.

 Общее Метод распространения:
   • Функция автозапуска


Псевдонимы (аliases):
   •  Kaspersky: Trojan-Spy.Win32.Zbot.bwjw
   •  Sophos: Troj/Bckdr-RIR
   •  Microsoft: Backdoor:Win32/IRCbot.DL
   •  GData: Worm.Generic.317684
   •  DrWeb: Trojan.DownLoader2.39345


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %APPDATA%\Microsoft\%случайная буквенная комбинация%.exe

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%случайная буквенная комбинация%.exe"="%APPDATA%\Microsoft\%случайная буквенная комбинация%.exe"

 IRC Для передачи системной информации и установки удаленного соединения происходит подключение к IRC серверу:

Сервер: **********ney.no-ip.info
Порт: 3074
Имя: %случайная буквенная комбинация%



– Данная вредоносная программа способна собирать и передавать следующую информацию:
    • Имя пользователя
    • Информация об операционной системе Windows


– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • разорвать соединение с IRC сервером
    • Войти в чат-комнату IRC
    • Покинуть чат-комнату IRC

 Backdoor Открывается порт:

– svchost.exe по UDP порту 1900 для обеспечения backdoor функции.

 Кража – Используемые функцией AutoComplete пароли

– Пароли следующих программ:
   • Mozilla Firefox
   • Internet Explorer

 Инфицирование – Вставляется в процесс в качестве удаленного программного потока.

    Имя процесса:
   • svchost.exe


 Разное Мьютекс:
Создается мьютекс:
   • HelloDDoser

 Данные файла Язык программирования:
Программа была написана на Delphi.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Ilie в(о) вторник, 18 октября 2011 г.
Описание обновил Andrei Ilie в(о) среда, 19 октября 2011 г.

Назад . . . .
https:// Это окно зашифровано для вашей безопасности.