Описание на компютърни инциденти и злонамерен софтуер

Описание на компютърни заплахи и злонамерен софтуер

IRCBot.GNS

2013-02-10

Наричан още: Backdoor:W32/IRCBot.GNS; Backdoor.Win32.IRCBot.dig; Backdoor:W32/IRCBot.GNS; Worm/IrcBot.96950; Worm:Win32/Pushbot.EA

Категория: Malware

Параметри: Големина: 96950; Тип: Задна вратичка; Платформа: W32

Кратко описание

W32/IRCBot.GNS представлява троянски кон, съдържащ задна вратичка.

Задните вратички представляват програми, които позволяват на отдалечен хакер да получи достъп до заразената система, на която да изпълнява команди.

Подробно описание

W32/IRCBot.GNS се появява в системата като се поставя от други злонамерени програми.

Когато се стартира тя създава свое копие в:

windir%\mservice.exe

Забележка: %windir% е Windows директорията, обикновено C:\Windows\

Тя създава точка за стартиране в регистъра.

Злонамерената програма се опитва да установи връзка със следния IRC сървър и де се включи в канала #pBot:

http.xn--mg-kka.com:[премахнато]/TCP

Наличието на изходящ трафик към този адрес е наличие на симптом на заразата.

Тя създава следните записи в регистъра:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
MSN = C:\Windows\mservice.exe

Създава и следния файл:

%windir%/mservice.exe

Действията на W32/IRCBot.GNS са да:

  • осъществява DDoS към определено IP;
  • сваля и стартира определени файлове;
  • разпространява се чрез MSN или AIM протоколи;
  • настройва IE да запомня пароли на заразената система;
  • самоактуализира се