Encyklopedický vstup
Aktualizováno: 17.dubna 2011 | Zveřejněno: Mar 01, 2010 Aliasy
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Aktualizováno: 17.dubna 2011 | Zveřejněno: Mar 01, 2010 Aliasy
-
W32/Autorun.worm.aae (McAfee)
- WORM_AUTORUN.EWS (Trend Micro)
- Worm.Win32.AutoRun.atdx (Kaspersky)
- W32.SillyFDC (Symantec)
Úroveň pohotovosti (?)
Těžká
Antimalware Ochrana údajů
Microsoftdoporučuje, aby si stáhnout nejnovější definice , aby si chráněné.
Detekce poslední aktualizace: Definice: 1.125.1774.0 Vydáno: 14.května 2012 | Detekce původně vytvořeny: Definice: 1.71.833.0 Datum vydání: Prosinec 14, 2009 |
Shrnutí
Backdoor:Win32/IRCbot.DLje backdoor trojan, který může spouštět příkazy ze vzdáleného útočníka. Tyto příkazy jsou zasílání informací o systému, které se účastní Distributed Denial of Service (DDoS) útoky a stahovat a spouštět libovolné soubory.
Příznaky
Systémové změny
Tyto systémové změny mohou signalizovat přítomnost tohoto malwaru:
Přítomnost následujícího souboru / s:
% AppData% \ Microsoft \ win32bit.exe
% AppData% \ Microsoft \ desktop.exe
% AppData% \ Microsoft \ balls.exe
% AppData% \ Microsoft \ winlog.exe
% AppData% \ Microsoft \ audio service.exe
% AppData% \ Microsoft \ windows.exe
% AppData% \ Microsoft \ scvhost.exe
% AppData% \ Microsoft \ slideshow.exe
% AppData% \ Microsoft \ Csrss.exe
% AppData% \ Microsoft \ abodeg.exe
Přítomnost těchto úprav registru nebo podobné:
Za klíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Přidává hodnotu: <název_souboru>
S údaji: " % AppData% \ Microsoft \ <název_souboru> "
Například:
Za klíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Přidanou hodnotu: " win32bit.exe "
S údaji: "% AppData% \ Microsoft \ win32bit.exe "
Technické informace (analýza)
Backdoor:Win32/IRCbot.DLje backdoor trojan, který může spouštět příkazy ze vzdáleného útočníka. Tyto příkazy jsou zasílání informací o systému, které se účastní Distributed Denial of Service (DDoS) útoky a stahovat a spouštět libovolné soubory.
Instalace
Backdoor:Win32/IRCbot.DLje obvykle instalován jako skrytý soubor na appdata%% \ Microsoft složky. To může používat názvy souborů, jako jsou následující:
win32bit.exe
desktop.exe
balls.exe
winlog.exe
audio service.exe
windows.exe
scvhost.exe
slideshow.exe
Csrss.exe
abodeg.exe
Poznámka: -% AppData% odkazuje na proměnné umístění, které je dáno malware dotazem na operační systém. Výchozí umístění instalace pro%% appdata pro Windows XP C: \ Documents and Settings \ < uživatel > \ Data aplikací, a pro Windows Vista a Windows 7 je C: \ Users \ < uživatelské > \ AppData \ Roaming.
To pak spustí novou kopii.
To vytvoří následující položku registru, aby byl spuštěn při startu systému:
Za klíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Přidává hodnotu: <název
S údaji: " % AppData% \ Microsoft \ <název_souboru> "
Například:
Za klíč: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Přidanou hodnotu: " win32bit.exe "
S údaji: "% AppData% \ Microsoft \ win32bit.exe "
Používá mutex jako " 3OoG0LGF% @ \ xo1I "zajistit, že ne více než jedna kopie lze spustit najednou.
Se šíří ...
Vyjímatelné disky
Někteří (ale ne všechny) varianty pravidelně kontrolovat, zda vyměnitelné disky jsou připojeny, a pokud ano, kopírovat sebe jako skrytý soubor do kořenového adresáře jednotky, používat stejný název souboru jako výše. Oni také umístit skrytý autorun.inf soubor v kořenovém adresáři na disku, aby k pokusu o spuštění škodlivého kódu, když je disk připojen na jiný systém.
Jakmile tak učinila, malware zprávy, které byly infikované disky na backdoor serveru (viz níže).
Užitečná
Umožňuje backdoor přístup a kontrolu
Malware se připojí ke vzdálenému serveru, často na jednom z portů 3085 a 3174 a 3176, nebo 3178, a vysílá různé informace o systému, včetně:
- Uživatelské jméno
- Název počítače
- Typ procesoru a rychlost
- Verze operačního systému
- Systém locale
Příklady serverů používaných v době publikace patří:
ry4n.no-ip.info
f8l.no-ip.info
J1Z.no-ip.info
m3tu55.redirectme.net
e9w.no-ip.biz
travy.no-ip.info
drones23.no-ip.org
filter55.webhop.info
bezpečné connection.serveftp.com
prodigy3.dyndns.info
Backdoor je regulátor může vydat následující příkazy:
- Stáhnout a spustit libovolný soubor
- Aktualizuje
- Spuštění nebo zastavení SYN nebo UDP založené DDoS útoky
- Poslat aplikace práva (Administrator nebo omezené) a dobu provozuschopnosti systému
- Seznam spuštěných procesů
- Ukončit proces
- Seznam titulů a podrobnosti o otevřených oken
- Zobrazí okno se zprávou
- Zastavte
- Odinstalace se
- Krást hesla Mozilla Firefox detaily
Žádné komentáře:
Okomentovat