Name:BDS/Pahador.O.11
Entdeckt am:16/02/2006
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:761.398 Bytes
MD5 Prüfsumme:8a7228dc214aa02de17beef20E1289f7
VDF Version:6.33.00.234

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Alias:
   •  Kaspersky: Backdoor.Win32.Pahador.o


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %Papierkorb%\services.exe
   • %Verzeichnis in dem die Malware ausgeführt wurde%\tempst.exe

 Registry Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • "%Papierkorb%\services.exe"="%Papierkorb%\services.exe:*:Enabled:services.exe"



Folgender Registryschlüssel wird geändert:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Alter Wert:
   • Shell"="explorer.exe"
   Neuer Wert:
   • Shell"="explorer.exe %mehrere Leerzeichen% %Papierkorb%\services.exe"

 Prozess Beendigung Prozesse mit einem der folgenden Fenster-Classen-Namen werden beendet:
   • TApplication
   • PX22Xsgt6
   • TForm1


 Hintertür Kontaktiert Server:
Den folgenden:
   • http://appmsg.gadu-gadu.pl/appsvc/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • MSCTF.TimListMUTEX.

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.

Die Beschreibung wurde erstellt von Irina Boldea am Mittwoch, 22. März 2006
Die Beschreibung wurde geändert von Irina Boldea am Mittwoch, 22. März 2006

zurück . . . .