Encyklopedie vstup
Aktualizováno: 17.dubna 2011 | Zveřejněno: Srpen 22, 2007 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 17.dubna 2011 | Zveřejněno: Srpen 22, 2007 Aliasy
-
Backdoor:Win32/IRCbot!8497 (Microsoft)
- Win32/Checkout.A (CA)
- Backdoor.Win32.IRCBot.aaq (Kaspersky)
- W32/Checkout (McAfee)
- W32/IRCBot-WB (Sophos)
- W32.Mubla (Symantec)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
| Detekce poslední aktualizace: Definice: 1.121.461.0 Vydáno: 27.února 2012 | Detekce původně vytvořeny: Definice: 1.45.287.0 Datum vydání: Říjen 07, 2008 |
Shrnutí
Backdoor:Win32/IRCbotje Trojan, který se připojí k Internet Relay Chat (IRC) serveru a poskytuje útočníkům se vzdáleným přístupem do napadeného systému. Příkazy, které mohou být dálkově spouštěny patří stahovat a spouštět soubory.Backdoor:Win32/IRCbot zahrnuje také schopnost poslat pouze na MSN Messenger kontakty.
Příznaky
Následující příznaky mohou být známkou Backdoor:Win32/IRCbot! 751D infekce:
- Přítomnost souboru "syshosts.dll" ve složce systému Windows
- Přítomnost souboru "photos.zip" ve složce Windows
- Přítomnost následujících klíčů registru a hodnoty:
HKEY_CLASSES_ROOT \ CLSID \ {5A2670F7-6E8B-4A4D-A71F-9B71A86EEFD6} \ InProcServer32 \
"@" = = "{5A2670F7-6E8B-4A4D-A71F-9B71A86EEFD6}"
Technické informace (analýza)
Backdoor:Win32/IRCbotje Trojan, který se připojí ke vzdálenému Internet Relay Chat (IRC) serveru a poskytuje útočníkům se vzdáleným přístupem do napadeného systému. Příkazy, které mohou být dálkově spouštěny patří stahovat a spouštět soubory.Backdoor:Win32/IRCbot zahrnuje také schopnost poslat pouze na MSN Messenger kontakty.
Backdoor:Win32/IRCbot může být instalován Backdoor:Win32/IRCbot! 8497, 32-bitový PE spustitelný. Při spuštění instalace se provede následující akce:
- Upustí soubor 'syshosts.dll "do složky systému Windows. Tento soubor může být detekován jakoBackdoor:Win32/IRCbot! 751D.
- Upraví registru spustit tento soubor při startu Windows:
Přidává hodnotu: syshosts
s údaji: {5A2670F7-6E8B-4A4D-A71F-9B71A86EEFD6}
Pro podklíč: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad \
Přidává hodnotu: @
Pomocí dat : syshosts.dll
Chcete-li podklíč:
HKEY_CLASSES_ROOT \ CLSID \ {5A2670F7-6E8B-4A4D-A71F-9B71A86EEFD6} \ InProcServer32 \ - Konečně, IRCBot! 8497 klesne. ZIP kopii sebe sama do složky Windows jako "photos.zip".
Kdy Backdoor:Win32/IRCbot! 751D (syshosts.dll) běží, provádí následující akce:
- Připojí ke vzdálenému IRC server pro příjem příkazů pokyny
- Čeká na příkaz pokyny, které by mohly zahrnovat šíří do dalších počítačů pomocí MSN Messenger komunikační protokol
- Backdoor:Win32/IRCbot! 751D může zaslat kopii sebe sama všem Messenger MSN kontakty, pomocí přílohu s názvem "photos.zip" a jedna z následujících zpráv: Zde jsou mé soukromé fotografie pro vás Zde jsou mé fotografie z mé dovolené Můj přítel si pěkné fotky me.you měli vidět em lol! jeho jen moje fotky! Krásné nové fotky mě a mých přátel a podobně a když jsem byl mladý, lol ... Pěkné nové fotky mě! : P Podívej se na můj sexy prsa: D hej regarde mes TOF! : P ! ma soeur voulu que tu regarde asi hej regarde les TOF, c'est moi et de mes copains zadržený .... : Dj'ai fais tuhnutí toi ce fotoalbum tu DOIs le voire :) tu DOIs voire CES TOF mes photos CHAUDES: D c'est seulement MES TOF: p zijn enige mijn foto je chci Hej ziet mijn Nieuw fotoalbum? indigde enkel Nieuw fotoalbum ! :) hej keurt mijn Nieuw fotoalbum Goed .. : P Hele být indigde enkel Nieuw fotoalbum! :) Het voor Jo, doend beeldverhaal van mijn Leven lol .. meine hei en Fotos! : P meine hei le mie foto calde: p mis fotos Calientes mi fotograf , jako jsou: p Mi Amigo tom las fotky agradables de m mis fotos Calientes el lol mi hermana quisiera que le enviara estealbum de foto
Žádné komentáře:
Okomentovat