需要修复电脑?
聘请专家
Nom:Worm/Dorkbot.I.385
La date de la découverte:07/05/2012
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Taille du fichier:947.200 Octets
Somme de contrôle MD5:e8e2ba08f9aff27eed45daa8dbde6159
Version VDF:7.11.29.80 - lundi 7 mai 2012
Version IVDF:7.11.29.80 - lundi 7 mai 2012

 Général Méthodes de propagation:
   • Fonctionnalité d'exécution automatique
   • Le réseau local
   • Programme de messagerie


Les alias:
   •  Kaspersky: Trojan.Win32.Bublik.jdb
   •  Sophos: Troj/Agent-YCW
   •  Eset: Win32/Dorkbot.B worm
   •  GData: Trojan.Generic.KDV.750742
   •  DrWeb: BackDoor.IRC.NgrBot.42
   •  Norman: Trojan W32/Injector.BMHF


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Peut servir à modifier des paramètres du système pour ainsi autoriser un comportement de logiciels malveillants ou en augmenter le potentiel.
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %appdata%\%chaîne de caractères aléatoire de six digits%.exe



Le fichier suivant est créé:

– %appdata%\%1 digit random character string%.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Bwzizj"="%appdata%\%chaîne de caractères aléatoire de six digits%.exe"

 Informations divers Connexion Internet:
Afin de vérifier sa connexion Internet, les serveurs DNS suivants sont contactés
   • s177.hot**********.com
   • venus.time**********.pl


Gestionnaire d’événements:
Il crée les gestionnaires d’événements suivants:
   • ReadProcessMemory
   • WriteProcessMemory
   • CreateRemoteThread
   • InternetReadFile
   • URLDownlaodToFile
   • InternetOpenURL
   • InternetOpen
   • CreateFile
   • GetAsyncKeyState


Chaîne de caractères:
Ensuite il contient les chaînes de caractères suivantes:
   • SYN]: Starting flood on "%s:%d" for %d second(s)
   • UDP]: Starting flood on "%s:%d" for %d second(s)
   • HTTP]: Updated HTTP spread interval to "%s"
   • MSN]: Updated MSN spread message to "%s
   • facebook.*/ajax/chat/send.php*
   • friendster.*/sendmessage.php*
   • secure.logmein.*/*logincheck*
   • google.*/*ServiceLoginAuth*
   • screenname.aol.*/login.psp*
   • sms4file.com/*/signin-do*
   • vip-file.com/*/signin-do*
   • moneybookers.*/*login.pl
   • torrentleech.org/*login*
   • webnames.ru/*user_login*
   • bigstring.*/*index.php*
   • login.live.*/*post.srf*
   • depositfiles.*/*/login*
   • thepiratebay.org/login*
   • MSN-> Message Pwned :)!
   • MSN-> Done, MSG is sent
   • DNS]: Blocked DNS "%s"
   • login.yahoo.*/*login*
   • facebook.*/login.php*
   • runescape*/*weblogin*
   • mediafire.com/*login*
   • vkontakte.ru/api.php
   • friendster.*/rpc.php
   • icon=shell32.dll,7
   • steampowered*/login*
   • twitter.com/sessions
   • megaupload.*/*login*
   • sendspace.com/login*
   • 4shared.com/login*
   • hotfile.com/login*
   • netflix.com/*ogin*
   • godaddy.com/login*

 Détails de fichier Langage de programmation:
Le fichier a été écrit en Borland C++.

说明添加者: Wensin Lee 打开 2012年10月8日星期一
说明更新者: Wensin Lee 打开 2012年10月8日星期一

反馈 . . . .
https:// 为了你的安全,此窗口已加密。