Examples of Mal/IRCbot-M include:
Example 1
Runtime Analysis
Copies Itself To
- C:\WINDOWS\system32\wtkhyyps.exe
Registry Keys Created
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
- Internet Messaging File System
- 57 54 4b 48 59 59 50 53 2e 45 58 45 00 74 65 73 74 00 23 a9 f1 2d 6c 61 6d 65 72 7a ae d7 df f6 86 23 00 65 6e 74 65 72 6e 6f 74 00 01 00 00 00 49 6e 74 65 72 6e 65 74 20 4d 65 73 73 61 67 69 6e 67 20 46 69 6c 65 20 53 79 73 74 65 6d 00 00 09 00 00 00 4d 69 63 72 6f 73 6f 66 74 20 49 6e 73 74 61 6e 74 20 4d 65 73 73 61 67 69 6e 67 20 50 72 6f 74 6f 63 6f 6c 00 4d 69 63 72 6f 73
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Internet Messaging File System
- 57 54 4b 48 59 59 50 53 2e 45 58 45 00 74 65 73 74 00 23 a9 f1 2d 6c 61 6d 65 72 7a ae d7 df f6 86 23 00 65 6e 74 65 72 6e 6f 74 00 01 00 00 00 49 6e 74 65 72 6e 65 74 20 4d 65 73 73 61 67 69 6e 67 20 46 69 6c 65 20 53 79 73 74 65 6d 00 00 09 00 00 00 4d 69 63 72 6f 73 6f 66 74 20 49 6e 73 74 61 6e 74 20 4d 65 73 73 61 67 69 6e 67 20 50 72 6f 74 6f 63 6f 6c 00 4d 69 63 72 6f 73
Processes Created
- c:\windows\system32\wtkhyyps.exe
Example 2
Runtime Analysis
Copies Itself To
- C:\WINDOWS\system32\gsydosea.exe
Registry Keys Created
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Internet Messaging File System
- 47 53 59 44 4f 53 45 41 2e 45 58 45 00 74 65 73 74 00 23 a9 f1 2d 6c 61 6d 65 72 7a ae d7 df f6 86 23 00 65 6e 74 65 72 6e 6f 74 00 01 00 00 00 49 6e 74 65 72 6e 65 74 20 4d 65 73 73 61 67 69 6e 67 20 46 69 6c 65 20 53 79 73 74 65 6d 00 00 09 00 00 00 4d 69 63 72 6f 73 6f 66 74 20 49 6e 73 74 61 6e 74 20 4d 65 73 73 61 67 69 6e 67 20 50 72 6f 74 6f 63 6f 6c 00 4d 69 63 72 6f 73
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
- Internet Messaging File System
- 47 53 59 44 4f 53 45 41 2e 45 58 45 00 74 65 73 74 00 23 a9 f1 2d 6c 61 6d 65 72 7a ae d7 df f6 86 23 00 65 6e 74 65 72 6e 6f 74 00 01 00 00 00 49 6e 74 65 72 6e 65 74 20 4d 65 73 73 61 67 69 6e 67 20 46 69 6c 65 20 53 79 73 74 65 6d 00 00 09 00 00 00 4d 69 63 72 6f 73 6f 66 74 20 49 6e 73 74 61 6e 74 20 4d 65 73 73 61 67 69 6e 67 20 50 72 6f 74 6f 63 6f 6c 00 4d 69 63 72 6f 73
Processes Created
- c:\windows\system32\gsydosea.exe
Example 3
Runtime Analysis
Copies Itself To
- C:\WINDOWS\system32\ircaddon.exe
Registry Keys Created
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
- Internet Messaging File System
- 69 72 63 61 64 64 6f 6e 2e 65 78 65 00 74 65 73 74 00 23 a9 f1 2d 6c 61 6d 65 72 7a ae d7 df f6 86 23 00 65 6e 74 65 72 6e 6f 74 00 01 00 00 00 49 6e 74 65 72 6e 65 74 20 4d 65 73 73 61 67 69 6e 67 20 46 69 6c 65 20 53 79 73 74 65 6d 00 00 09 00 00 00 4d 69 63 72 6f 73 6f 66 74 20 49 6e 73 74 61 6e 74 20 4d 65 73 73 61 67 69 6e 67 20 50 72 6f 74 6f 63 6f 6c 00 4d 69 63 72 6f 73
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Internet Messaging File System
- 69 72 63 61 64 64 6f 6e 2e 65 78 65 00 74 65 73 74 00 23 a9 f1 2d 6c 61 6d 65 72 7a ae d7 df f6 86 23 00 65 6e 74 65 72 6e 6f 74 00 01 00 00 00 49 6e 74 65 72 6e 65 74 20 4d 65 73 73 61 67 69 6e 67 20 46 69 6c 65 20 53 79 73 74 65 6d 00 00 09 00 00 00 4d 69 63 72 6f 73 6f 66 74 20 49 6e 73 74 61 6e 74 20 4d 65 73 73 61 67 69 6e 67 20 50 72 6f 74 6f 63 6f 6c 00 4d 69 63 72 6f 73