Name:Worm/IRCBot.10790
Entdeckt am:09/05/2005
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:10.790 Bytes
MD5 Prüfsumme:e3614ba296c9b4a5cd4537c90f072865
VDF Version:6.31.01.212

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: Backdoor.Win32.IRCBot.fx
   •  Kaspersky: BKDR_IRCBOT.BZ
   •  TrendMicro: W32/Sdbot.LXR
   •  Grisoft: Trojan.DR.IRCBot.DZ1
   •  Eset: Backdoor.IRCBot.FX


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine Datei
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\csrss.exe

%WINDIR%\kmc.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/IRCBot.8402

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\CLSID\%generierter CLSID%\InProcServer32]
   • @="kmc.dll"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "System"="%generierter CLSID%

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: irc.foofle.net
Port: 6667
Channel: #sbots_main
Nickname: %Name des Computers%



– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Arbeitszeit der Malware
    • Informationen über das Netzwerk
    • Information über das Windows Betriebsystem
    • Datei herunterladen
    • IRC Chatraum betreten
    • Prozess abbrechen
    • Öffnen einer remote shell
    • Scannen des Netzwerks
    • System neu starten
    • Malware beenden
    • Prozess beenden
    • Aktualisiert sich selbst
    • Datei Hinaufladen
    • Besuch einer Webseite

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Razvan Olteanu am Dienstag, 15. November 2005
Die Beschreibung wurde geändert von Andrei Ivanes am Mittwoch, 23. November 2005

zurück . . . .