Backdoor.KOwbot.WormTip: Worm & Bacdoor

Marime: 19 KB Raspandire: Mare Descriere tehnica: Acest virus este un alt vierme de Internet care foloseste, pentru a se raspandi, cunoscuta retea de partajare a fisierelor KaZaA; de asemenea,

Marime: 19 KB Raspandire: Mare Descriere tehnica: Acest virus este un alt vierme de Internet care foloseste, pentru a se raspandi, cunoscuta retea de partajare a fisierelor KaZaA; de asemenea, virusul include o componenta backdoor care permite conectarea la distanta prin IRC (Internet Relay Chat). Virusul a fost scris in C si partea executabila este comprimata si criptata; virusul foloseste, de asemenea, tehnici de protectie pentru a impiedica dezasamblarea. Cand esre rulat, virusul se copiaza ca explorer32.exe in directorul Windows System si face ca aceasta copie sa fie rulata la fiecare pornire a Windows-ului prin crearea in registrii a inregistrarilor descrise mai sus. Virusul creeaza un fisier temporar (c:\moo.reg) care este folosit pentru a stabili valoarea inregistrarii din registrii HKEY_CURRENT_USER\ Software\Kazaa\ LocalContent\DisableSharing la 0 (pentru a permite partajarea fisierelor KaZaA). Virusul isi creeaza aproximativ 150 de copii in directorul partajat KaZaA, folosind numele unor programe de software sau ale unor fisiere media cunoscute: Componenta backdoor se conecteaza la un server IRC (Internet Relay Chat) si va permite controlul de la distanta al calculatorului infectat (dupa o parola de autentificare), inclusiv capacitatea de a realiza urmatoarele actiuni pe calculatorul "victima": - actualizarea virusului prin descarcarea unei versiuni mai noi; - raportarea unor informatii despre sistemul infectat (viteza procesorului, memoria, versiunea sistemului de operare, timpul de functionare, tipul conexiunii la Internet, adresa IP-ului local etc.); - raportarea programelor software instalate (prin trimiterea fisierului c:\moo.txt care afiseaza subdirectoarele directorului Program Files); - realizarea unor comenzi diferite prin IRC, inclusiv realizarea unui atac de tip flood asupra server-ului de chat. Nota: Virusii din aceasta rubrica au fost studiati de Softwin si pot fi eliminati cu antivirusul romanesc BitDefender (AVX).