Нужно починить ПК?
Найми профи
Имя:TR/Ircbrute.A.564
Обнаружен:02/08/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От среднего до высокого
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:137.728 байт.
Контрольная сумма MD5:79B6597F87059A3AA0931CDEE2A8304E
Версия VDF:7.10.04.86
Версия IVDF:7.10.10.46 - 2010년 8월 2일 월요일

 Общее Метод распространения:
   • Функция автозапуска
   • Инфицирует файлы


Псевдонимы (аliases):
   •  Kaspersky: Trojan.Win32.Jorik.IRCbot.vp
   •  TrendMicro: TROJ_JORIK.GP
   •  Microsoft: Trojan:Win32/Ircbrute


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Последствия:
   • Позволяет несанкционированно подключиться к компьютеру
   • Создает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создается собственная копия:
   • %APPDATA%\E-73473-3674-74335\%случайная буквенная комбинация%



Выполненная копия программы удаляется.

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%случайная буквенная комбинация%"="%APPDATA%\%случайная буквенная комбинация%.exe"



Создание следующего элемента для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%APPDATA%\E-73473-3674-74335\msnrsmsn.exe"="%APPDATA%\E-73473-3674-74335\msnrsmsn.exe:*:Enabled:Microsoft
      MainUpdates"

 IRC Для передачи информации о системе и обеспечения удаленного управления устанавливаются соединения со следующими IRC серверами:

Сервер: mindweed**********.ru
Порт: 1863
Пароль сервера: ngrBot
Канал: #ngr
Имя: %случайная буквенная комбинация%
Пароль: ngrBot

Сервер: **********.201.66.32
Порт: 1863
Пароль сервера: ngrBot
Канал: #ngr
Имя: %случайная буквенная комбинация%
Пароль: ngrBot


– Вредоносная программа обладает способностью выполнять следующие действия:
    • установить соедиениение с IRC сервером
    • Запускается DDoS UDP атака
    • разорвать соединение с IRC сервером
    • Запустить файл
    • Войти в чат-комнату IRC
    • Покинуть чат-комнату IRC
    • Запуск процедуры распространения
    • Посещение веб-страницы

 Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы

– Запуск функции протоколирования при посещении веб-страницы с одной из следующих последовательностей в URL:
   • bebo.
   • facebook.
   • friendster.
   • twitter.
   • vkontakte.ru

– Протоколируется:
    • Регистрационная информация

 Инфицирование – Вставляется в процесс в качестве удаленного программного потока.

    Все следующие процессы:
   • explorer.exe
   • %случайный процесс%



Цель:
Доступ к следующим веб-сайтам блокирован:
   • *bitdefender.*; *bullguard.*; *garyshood.*; *gdatasoftware.*;
      *kaspersky.*; *malwarebytes.*; *novirusthanks.*; *onecare.live.*;
      *onlinemalwarescanner.*; *pandasecurity.*; *precisesecurity.*;
      *sunbeltsoftware.*; *threatexpert.*; *trendmicro.*;
      *virusbuster.nprotect.*; *viruschief.*; *virustotal.*


 Разное Доступ к интернет-ресурсам:
   • api.wipmania.com

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.

Описание добавил Andrei Ilie в(о) среда, 31 августа 2011 г.
Описание обновил Andrei Ilie в(о) пятница, 2 сентября 2011 г.

Назад . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Все права защищены.

Мой Аккаунт

https:// Это окно зашифровано для вашей безопасности.