Name:DR/Xbot.L
Entdeckt am:04/08/2006
Art:Dropper
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:20.384 Bytes
MD5 Prüfsumme:2188b1bc1342c0824c2f5429678a310C
VDF Version:6.35.01.46 - Freitag, 4. August 2006
IVDF Version:6.35.01.46 - Freitag, 4. August 2006

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  TrendMicro: BKDR_AGENT.DFT
   •  Bitdefender: Dropped:Backdoor.Xbot.L


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\remote.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

%SYSDIR%\kernel32.ime Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: BDS/Xbot.L

 Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\RpcRemote]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\remote.exe"
   • "DisplayName"="Remote Procedure Call (RPC) Remote"
   • "ObjectName"="LocalSystem"
   • "Description"="Manages the RPC name service database."

– [HKLM\SYSTEM\CurrentControlSet\Services\RpcRemote\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\RpcRemote\Enum]
   • "0"="Root\\LEGACY_RPCREMOTE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Injektion –  Es injiziert folgende Datei in einen Prozess: KERNEL32.IME

    Prozessname:
   • SVCHOST.EXE


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • WinUpack

Die Beschreibung wurde erstellt von Gabriel Mustata am Freitag, 11. August 2006
Die Beschreibung wurde geändert von Gabriel Mustata am Montag, 28. August 2006

zurück . . . .