Name:TR/IRC.Ryknos.A
Entdeckt am:10/11/2005
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:10.240 Bytes
MD5 Prüfsumme:ebe94809b68675feddfe2a2fa889f243
VDF Version:6.32.00.168

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine
   •  Mcafee: W32/Brepibot
   •  Kaspersky: Backdoor.Win32.Breplibot.b
   •  Sophos: Troj/Stinx-E


Betriebsysteme:
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\$sys$drv.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj]
   • "$sys$drv"="$sys$drv.exe"

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: 24.**********.45
Port: 8080
Channel: #sony
Nickname: [%mehrere beliebige Ziffern%-%Betriebssystem%]%zufällige Buchstabenkombination%

Server: 35.**********.93
Port: 8080
Channel: #sony
Nickname: [%mehrere beliebige Ziffern%-%Betriebssystem%]%zufällige Buchstabenkombination%

Server: 67.**********.190
Port: 8080
Channel: #sony
Nickname: [%mehrere beliebige Ziffern%-%Betriebssystem%]%zufällige Buchstabenkombination%

Server: 68.**********.76
Port: 8080
Channel: #sony
Nickname: [%mehrere beliebige Ziffern%-%Betriebssystem%]%zufällige Buchstabenkombination%

Server: 152.**********.186
Port: 8080
Channel: #sony
Nickname: [%mehrere beliebige Ziffern%-%Betriebssystem%]%zufällige Buchstabenkombination%


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktion durchzuführen:
    • Datei herunterladen

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • $sys$drv.exe

 Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.


Versteckt folgendes:
– Eigene Datei


Eingesetzte Methode:
    • Nutzt Rootkit welches beim Installieren von Sony Audio CDs aktiviert wird

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Ivanes am Donnerstag, 10. November 2005
Die Beschreibung wurde geändert von Andrei Ivanes am Montag, 14. November 2005

zurück . . . .