Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/IrcBot.19968.20
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度至中程度
感染/传播能力:低程度至中程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:19.968 字节
MD5 校检和:175528310Da902dbbe27f005815a2b79
VDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe
IVDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe

 况概描述 传播方法:
   • Messenger


别名:
   •  Mcafee: W32/IRCbot.gen.a
   •  Kaspersky: Backdoor.Win32.IRCBot.cud
   •  F-Secure: Backdoor.Win32.IRCBot.cud
   •  Grisoft: BackDoor.Ircbot.EDV
   •  Eset: Win32/IRCBot
   •  Bitdefender: Backdoor.IRCBot.ABYQ


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 阻止对特定网站的访问
   • 阻止对安全网站的访问
   • 注册表修改
   • 第三方控件

 文件 它将本身复制到以下位置:
   • %SYSDIR%\initserv.exe



它会删除其本身最初执行的副本。

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Initialization Services="initserv.exe"

 Messenger 它是通过 Messenger 传播的。 下面说明了它的特征:

– Windows Live Messenger


收件人:
联系人列表全部资料。

 IRC 为了提供系统信息和远程控制,它会连接到以下 IRC 服务器:

服务器: nagasaki.japancorporation.**********
端口: 9103
服务器密码: su1c1d3
通道: #net
昵称: \00\USA\%10 位数的随机字符串%
密码: n3t!



– 此恶意软件能够搜集并发送类似如下信息:
    • 平台 ID
    • Windows 操作系统信息


– 而且,它能够进行此般操作:
    • 连接到 IRC 服务器
    • 下载文件
    • 编辑注册表
    • 执行文件
    • 离开 IRC 通道
    • 启动传播例程
    • 访问网站

 主机 会按如下所述对主机文件进行修改:

– 这种情况下,现有项目会被删除。

– 阻挡以下域名的访问:
   • jayloden.com
   • www.jayloden.com
   • www.spywareinfo.com
   • spywareinfo.com
   • www.spybot.info
   • spybot.info
   • kaspersky.com
   • kaspersky-labs.com
   • www.kaspersky.com
   • www.majorgeeks.com
   • majorgeeks.com
   • securityresponse.symantec.com
   • symantec.com
   • www.symantec.com
   • updates.symantec.com
   • liveupdate.symantecliveupdate.com
   • liveupdate.symantec.com
   • customer.symantec.com
   • update.symantec.com
   • www.sophos.com
   • sophos.com
   • www.virustotal.com
   • virustotal.com
   • www.mcafee.com
   • mcafee.com
   • rads.mcafee.com
   • mast.mcafee.com
   • download.mcafee.com
   • dispatch.mcafee.com
   • us.mcafee.com
   • www.trendsecure.com
   • trendsecure.com
   • www.viruslist.com
   • viruslist.com
   • www.hijackthis.de
   • hijackthis.de
   • f-secure.com
   • www.f-secure.com
   • Merijn.org
   • www.Merijn.org
   • www.avp.com
   • avp.com
   • analysis.seclab.tuwien.ac.at
   • www.bleepingcomputer.com
   • bleepingcomputer.com
   • trendmicro.com
   • www.trendmicro.com
   • www.safer-networking.org
   • safer-networking.org
   • grisoft.com
   • www.grisoft.com




修改后的hosts 文件将如下所示:


 Rootkit 技术 它使用特定的恶意软件技术。 该恶意软件会对系统实用程序和安全应用程序隐藏其自身,并且最终会对用户隐藏其自身。


隐藏以下内容:
– 它自身的进程

 文件详细信息 编程语言:
该恶意软件程序是用 MS Visual C++ 编写的。


运行时压缩程序:
为了提高检测难度以及减小文件,它已使用以下运行时压缩程序进行压缩:
   • UPX

Açıklamayı yerleştiren Monica Ghitun tarihinde 7 Ağustos 2008 Perşembe
Açıklamayı güncelleyen: Andrei Gherman tarihinde 20 Ağustos 2008 Çarşamba

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.