Backdoor.Win32.IRCBot.acd :right:
Vírus Worm/IRCBot.52736.4
Data em que surgiu: 01/07/2007
Tipo: Worm
Incluído na lista "In The Wild" Não
Nível de danos: Baixo
Nível de distribuição: Médio
Nível de risco: Médio
Ficheiro estático: Sim
Tamanho: 52.736 Bytes
MD5 checksum: ee3ed79ffb63344b6e50458b68a7814a
Versão VDF: 6.39.00.78
Vulgarmente Meio de transmissão:
• Messenger
Efeitos secundários:
• Descarrega um ficheiro malicioso
• Altera o registo do Windows
• Possibilita acesso não autorizado ao computador
Ficheiros Copia-se dentro de um ficheiro para a localização seguinte:
• %WINDIR%\myalbum2007.zip
É criado o seguinte ficheiro:
– Ficheiro não malicioso:
• %home%\new.txt
– %SYSDIR%\sysprinters.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/IRCBot.24040
Registry (Registo do Windows) São adicionadas as seguintes chaves ao registo:
– [HKCR\CLSID\{2E578F88-6425-4398-AB42-FF58EAA2566D}\InProcServer32]
• @="sysprinters.dll"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad]
• "system32"="{2E578F88-6425-4398-AB42-FF58EAA2566D}"
Messenger Propaga-se através do Messenger. Tem as seguintes características:
– MSN Messenger
Para:
Todas as entradas na lista de contactos.
Mensagem
A mensagem enviada parece-se com a seguinte:
• Here are my very secret pictures for you.
Here are my pictures from my vacation
hmm is this you on the photo ?
Check out my pics from my workplace.
Nice new photos of me and my friends and stuff...
ahh look this is my greatest picture made on vacation 2007, take a look
Check out my nice photo album.
hey regarde les tof de notre bande de fous.
hey c'est toi dans ces tof!!???
hey regarde les tof, c'est moi et mes copains entrain de....
j'ai fais pour toi cet album de photos tu dois le voire
stp regarde cet album de photos je lai fais specialement pour toi et mes amis...
mes photos chaudes
t'as pas encore vu ces tof???
hey kijk eens naar mijn nieuwe foto album
hey bekijk eens mijn nieuwe foto album
hmm ben jij dit op de foto ?
hey kijk ! dit is een lijst van mijn nieuwste fotos !!
ahh kijk mijn mooiste foto album van vakantie 2007 bekijk ze eens
kijk dit zijn fotos van mij werkplek!
meine hei
en Fotos !
le mie foto calde
mis fotos calientes
mi fotografias
Mi amigo tom
las fotos agradables de m
mis fotos calientes
el lol mi hermana quisiera que le enviara este
Propagação por ficheiro
Envia um ficheiro com o seguinte nome :
• %WINDIR%\myalbum2007.zip
IRC Para enviar informações do sistema e permitir controlo remoto liga-se ao servidor de IRC:
Servidor:
www.free4**********.net
Porta: 80
Canal #.mafia
Nickname: new[USA][0H]%uma série de caracteres aleatórios%
Introdução de código viral noutros processos – Introduz o seguinte ficheiro num processo: %SYSDIR%\sysprinters.dll
– Introduz uma rotina Backdoor num processo.
Nome do processo:
• EXPLORER.EXE
Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Delphi.
Site Avira