需要修復電腦?
聘請專家
VrusWorm/Dorkbot.I.385
Data em que surgiu:07/05/2012
Tipo:Worm
Includo na lista "In The Wild"No
Nvel de danos:Baixo
Nvel de distribuio:De baixo a mdio
Nvel de risco:Mdio
Tamanho:947.200 Bytes
MD5 checksum:e8e2ba08f9aff27eed45daa8dbde6159
Verso VDF:7.11.29.80 - segunda-feira, 7 de maio de 2012
Verso IVDF:7.11.29.80 - segunda-feira, 7 de maio de 2012

 Vulgarmente Meios de transmisso:
    Recurso de execuo automtica
   • Rede local
    Messenger


Alias:
   •  Kaspersky: Trojan.Win32.Bublik.jdb
   •  Sophos: Troj/Agent-YCW
   •  Eset: Win32/Dorkbot.B worm
     GData: Trojan.Generic.KDV.750742
     DrWeb: BackDoor.IRC.NgrBot.42
     Norman: Trojan W32/Injector.BMHF


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efeitos secundrios:
    Pode ser usado para modificar configuraes do sistema que permitem ou aumentam o comportamento do malware em potencial.
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localizao:
   • %appdata%\%seis caracteres aleatrios%.exe



criado o seguinte ficheiro:

%appdata%\%1 digit random character string%.exe Alm disso executa-se depois de gerado. Outras investigaes apontam para que este ficheiro, tambm, seja malware.

 Registry (Registo do Windows) Um dos seguintes valores adicionado para executar o processo depois reinicializar:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Bwzizj"="%appdata%\%seis caracteres aleatrios%.exe"

 Informaes diversas Ligao internet:
Para conferir a sua ligao internet so contatados os seguintes servidores de DNS :
   • s177.hot**********.com
   • venus.time**********.pl


Manipulador de eventos:
Cria o seguinte Manipulador de eventos:
   • ReadProcessMemory
   • WriteProcessMemory
   • CreateRemoteThread
   • InternetReadFile
   • URLDownlaodToFile
   • InternetOpenURL
   • InternetOpen
   • CreateFile
   • GetAsyncKeyState


Texto:
Alm disso contm os seguintes blocos de texto:
   • SYN]: Starting flood on "%s:%d" for %d second(s)
   • UDP]: Starting flood on "%s:%d" for %d second(s)
   • HTTP]: Updated HTTP spread interval to "%s"
   • MSN]: Updated MSN spread message to "%s
   • facebook.*/ajax/chat/send.php*
   • friendster.*/sendmessage.php*
   • secure.logmein.*/*logincheck*
   • google.*/*ServiceLoginAuth*
   • screenname.aol.*/login.psp*
   • sms4file.com/*/signin-do*
   • vip-file.com/*/signin-do*
   • moneybookers.*/*login.pl
   • torrentleech.org/*login*
   • webnames.ru/*user_login*
   • bigstring.*/*index.php*
   • login.live.*/*post.srf*
   • depositfiles.*/*/login*
   • thepiratebay.org/login*
   • MSN-> Message Pwned :)!
   • MSN-> Done, MSG is sent
   • DNS]: Blocked DNS "%s"
   • login.yahoo.*/*login*
   • facebook.*/login.php*
   • runescape*/*weblogin*
   • mediafire.com/*login*
   • vkontakte.ru/api.php
   • friendster.*/rpc.php
   • icon=shell32.dll,7
   • steampowered*/login*
   • twitter.com/sessions
   • megaupload.*/*login*
   • sendspace.com/login*
   • 4shared.com/login*
   • hotfile.com/login*
   • netflix.com/*ogin*
   • godaddy.com/login*

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em Borland C++.

說明撰寫者 Wensin Lee 開啟 2012年10月8日星期一
說明更新者 Wensin Lee 開啟 2012年10月8日星期一

返回 . . . .
https:// 為了你的安全,此視窗已加密。