Name:BDS/IRCBot.NB.1
Entdeckt am:25/01/2006
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:51.225 Bytes
MD5 Prüfsumme:3236fe1cfdf7f4ad1ee178181e2bddb2
VDF Version:6.33.00.155

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  TrendMicro: BKDR_IRCBOT.DT
   •  Bitdefender: Backdoor.IRCBot.NB


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\drivers\winlogon.exe

 Registry Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Shell"="Explorer.exe"
   Neuer Wert:
   • "Shell"="Explorer.exe %SYSDIR%\drivers\winlogon.exe"

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: irc.i1**********
Port: 6667
Channel: #pyro6
Nickname: %Name des Computers%[%siebenstellige zufällige Buchstabenkombination%]



– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Speichern der Bildschirmanzeige
    • Prozessorgeschwindigkeit
    • Freier Festplattenplatz
    • Freier Hauptspeicher
    • Arbeitszeit der Malware
    • Informationen über laufende Prozesse
    • Größe des Speichers
    • Benutzername
    • Windowsverzeichnis
    • Information über das Windows Betriebsystem


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • DDoS ICMP Angriff starten
    • DDoS SYN Angriff starten
    • DDoS TCP Angriff starten
    • DDoS UDP Angriff starten
    • vom IRC Server abmelden
    • Datei herunterladen
    • Datei ausführen
    • IRC Chatraum betreten
    • Prozess abbrechen
    • IRC Chatraum verlassen
    • Öffnen einer remote shell
    • DDoS Attacke durchführen
    • Registrieren eines Service
    • System herunterfahren

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • explorer.exe

   Schlägt dies fehl so bleibt die Malware weiterhin als Prozess aktiv.

 Diverses String:
Des Weiteren enthält es folgende Zeichenkette:
   • IRCBot (v.0.1a) (C) KEZ <kez@antichat.ru> (Respect to 777)

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Daniel Constantin am Freitag, 10. Februar 2006
Die Beschreibung wurde geändert von Daniel Constantin am Montag, 13. Februar 2006

zurück . . . .