Backdoor.L0wbotAlias: W32.Kwbot.Worm

Tip: Worm & Backdoor Marime: ~19 KB Raspandire: Mare Risc: Redus Simptome: - fisierul explorer32.exe in directorul Windows Systems; - inregistrari de genul "Windows Explorer Update Build 1142"

Tip: Worm & Backdoor Marime: ~19 KB Raspandire: Mare Risc: Redus Simptome: - fisierul explorer32.exe in directorul Windows Systems; - inregistrari de genul "Windows Explorer Update Build 1142" in cheile din registrii HKLM\Software\Microsoft\ Windows\CurrentVersion\Run si HKLM\Software\Microsoft\Window s\CurrentVersion\RunServices; valoarea inregistrarilor este "explorer32"; - multe copii ale virusului (cu nume diferite, dar toate cu o marime de aproximativ 19 KB) in directorul partajat KaZaA - de obicei "C:\Program Files\KaZaA\My Shared Folder". Descriere tehnica: Acest virus este un alt vierme de Internet care foloseste, pentru a se raspandi, cunoscuta retea de partajare a fisierelor KaZaA; de asemenea, virusul include o componenta backdoor care permite conectarea la distanta prin IRC (Internet Relay Chat). Virusul a fost scris in C si partea executabila este comprimata si criptata; virusul foloseste, de asemenea, tehnici de protectie pentru a impiedica dezasamblarea. Cand este rulat, virusul se copiaza ca explorer32.exe in directorul Windows System si face ca aceasta copie sa fie rulata la fiecare pornire a Windows-ului prin crearea in registrii a inregistrarilor descrise mai sus. Virusul creeaza un fisier temporar (c:\moo.reg) care e folosit pentru a stabili valoarea inregistrarii din registrii. HKEY_CURRENT_USER\ Software\KaZaa\Loc alContent\DisableSharing la 0. Virusul este capabil sa se raspandeasca prin Internet deoarece o cautare, in reteaua KaZaA, a unor nume de fisiere similare va afisa si copiile virusului de pe calculatoarele infectate. Componenta backdoor se conecteaza la un server IRC (Internet Relay Chat) si va permite controlul de la distanta al calculatorului infectat (dupa o parola de autentificare), inclusiv capacitatea de a realiza urmatoarele actiuni pe calculatorul "victima": - actualizarea virusului prin descarcarea unei versiuni mai noi; - raportarea unor informatii despre sistemul infectat (viteza procesorului, memoria, versiunea sistemului de operare, timpul de functionare, tipul conexiunii la Internet, adresa IP-ului local etc.); - raportarea programelor softwared instalate (prin trimiterea fisierului c:\moo.txt care afiseaza subdirectoarele directorului Program Files); - realizarea unor comenzi diferite prin IRC, inclusiv realizarea unui atac de tip flood asupra server-ului de char. Dezinfectie manuala: Indepartati (folosind REGEDIT) inregistrarile din registrii descrise in sectiunea simptome si stergeti fisierul "explorer32.exe" in directorul Windows Systems, dupa aceea reporniti calculatorul. De asemenea, ar trebui sa stergeti toate copiile virusului din directorul partajat KaZaA. Nota: Virusii din aceasta rubrica au fost analizati de Softwin si pot fi eliminati cu antivirusul BitDefender.