Latest Threats 07/10/03 W32.IRCBot.B

Συζητήσεις και νέα σχετικά με την ασφάλεια των υπολογιστών και των virus που τους προσβάλουν...

Συντονιστές: Super-Moderators, Software & Hardware Moderators

Απάντηση
Άβαταρ μέλους
Expl0it
Honorary Member
Δημοσιεύσεις: 2364
Εγγραφή: 25 Αύγ 2003 23:24
Τοποθεσία: home/sweet/home

Latest Threats 07/10/03 W32.IRCBot.B

Δημοσίευση από Expl0it » 09 Οκτ 2003 16:02

W32.IRCBot.B

* Σημείωση : Οι πληροφορίες που δίνονται για τον καθαρισμό του ιού απο τον υπολογιστή σας,
είναι για προγράμματα αντιμετώπισης ιών της SYMANTEC


O W32.IRCBot.B είναι ένας Backdoor Trojan Horse ο οποίος συνδέεται με έναν IRC server και περιμένει εντολές απο τον Ηacker. Αυτός ο Trojan είναι μια παραλλαγή του W32.IRCBot και του W32.IRCBot.Gen.

Ο Trojan είναι συσκευασμένος με UPX.


Επίσης γνωστός ως : Win32.SdBot.18976 [CA], Troj/Ircbot-M [Sophos], Backdoor.IRCBot.gen [KAV], W32/Sdbot.worm.gen [McAfee]

Είδος : Trojan Horse

Λειτουργικά Συστήματα που έχουν μολυνθεί : Windows 2000, Windows 95, Windows 98, Windows Me,
Windows NT, Windows Server 2003, Windows XP

Λειτουργικά Συστήματα που δεν έχουν μολυνθεί : DOS, Linux, Macintosh, Microsoft IIS, OS/2, UNIX,
Windows 3.x


* ΣΗΜΕΙΩΣΗ : Έχει αναφερθεί ότι W32.IRCBot.B μπορεί να φθάσει σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου για μια πλαστή αναπροσαρμογή προγράμματος για Norton AntiVirus. Ο πομπός, updates@symantec.com, είναι η διεύθυνση ηλεκτρονικού ταχυδρομείου. H Symantec δεν στέλνει ποτέ το εκούσιο ηλεκτρονικό ταχυδρομείο. To attachment πρέπει να διαγραφεί.

Ο Trojan μπορεί να φθάσει σε ένα ηλεκτρονικό ταχυδρομείο με τα ακόλουθα χαρακτηριστικά:

From: updates@symantec.com (spoofed email address)
Subject: Last Update.
Body: October 06, 2003
Intruder Alert 4.1 W32_Webb_Worm Policy
This policy detects the propagation of the W32.SobigF.Worm though changes in the registry.

W32.Webb.F@mm is a mass-mailing, network-aware worm that sends itself to all the email addresses it finds in various files.
The worm uses its own SMTP engine to propagate and attempts to create a copy of itself on accessible network shares, but fails due to bugs in the code.

In attachment you can find program that update your Norton Antivirus to Norton Antivirus 2004.

Attachment: nav32.zip

* ΣΗΜΕΙΩΣΗ : Όταν το αρχείο nav32.zip αποσυμπιέζεται, γίνεται ένα εκτελέσιμο αρχείο με την ονομασία nav32.exe, το οποίο έχει μέγεθος 19Kb.



TEXNIKEΣ ΛΕΠΤΟΜΕΡΙΕΣ

Όταν ο W32.IRCBot.B τρέξει για πρώτη φορά στον υπολογιστή σας εκτελεί τις παρακάτω ενέργειες :

1) Αντιγράφεται ώς %SYSTEM%\RPCX1sQ3.exe.

* ΣΗΜΕΙΩΣΗ : Το %System% είναι μια μεταβλητή. Ο Trojan εντοπίζει τo φάκελο συστημάτων και αντιγράφεται σε εκείνη την θέση. Εξ ορισμού, αυτό είναι C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), ή C:\Windows\System32 (Windows XP).

2) Προσθέτει την τιμή :

"windowsupdate" = "RPCX1sQ3.exe"

Στα παρακάτω Registry Keys:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices

3) Προσπαθεί να συνδεθεί στον IRC server, itc.ourmoney.pp.ruz, χρησιμοποιώντας την TCP port 31337.

4) Οι προσπάθειες να ενωθεί με ένα προκαθορισμένο κανάλι, χρησιμοποιώντας ένα τυχαίο ψευδώνυμο, και περιμένει τις εντολές από τον κεντρικό υπολογιστή IRC.

5) Οι εντολές περιλαμβάνουν, αλλά δεν περιορίζονται σε:

* Διαχείριση της εγκατάστασης του Trojan
* Έλεγχος του χρήστη IRC σε έναν συμβιβασμένο υπολογιστή
* Ενημέρωση εγκατεστημένου Trojan
* Αποστολή του Trojan σε άλλα κανάλια IRC
* Κατέβασμα (download) και εκτέλεση των αρχείων
* Εκτέλεση επιθέσεων υπηρεσιών (DoS) ενάντια σε έναν στόχο, τον οποίο ο χάκερ καθορίζει
* Απεγκατάσταση εντελώς με την αφαίρεση των σχετικών καταχωρήσεων στην registry
* Tερματισμό κάποιων διαδικασιών
* Επίσκεψη διαφόρων Web Site.

ΟΔΗΓΕΙΕΣ ΚΑΘΑΡΙΣΜΟΥ ΤΟΥ W32.IRCBot.B ΑΠΟ ΤΟΝ ΥΠΟΛΟΓΙΣΤΗ ΣΑΣ

1) Θέστε εκτός λειτουργίας το System Restore (Windows Me/XP).
2) Κάντε Update τα virus definitions.
3) Κάντε ένα Full system scan και διαγράψτε όλα τα αρχεία που θα εντοπισθούν ως W32.IRCBot.B
4) Διαγράψτε την τιμή που προστέθηκε στην Registry.

Για περισσότερες πληροφορίες σχετικά με τον W32.IRCBot.B πατήστε ΕΔΩ


Filter

Εικόνα

Greek Web Angel

Απάντηση

Επιστροφή στο “Security, antiVirus & antiSpyWare”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες