Name:Worm/Rbot.gen
Entdeckt am:25/01/2007
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Nein
Engine Version:7.03.00.32

 General Verbreitungsmethoden:
   • Lokales Netzwerk
   • Gemappte Netzlaufwerke

Ähnliche Erkennung:
   •  Worm/Sdbot.gen


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Spezialerkennung  Worm/Rbot.gen

Beschreibung:
Eine generische Erkennungsroutine um gemeinsame Familienmerkmale der verschiedenen Varianten zu erkennen.

Diese generische Erkennungsroutine wurde entwickelt um unbekannte Varianten zu erkennen. Sie wird kontinuierlich weiterentwickelt.


Versionsliste:
Um die Erkennung zu verbessern wurde die Engine mit folgenden Versionen aktualisiert:

   •  7.03.00.32   ( 25/01/2007 )
   •  7.04.01.66   ( 29/08/2007 )
   •  7.06.00.27   ( 18/10/2007 )
   •  7.06.00.53   ( 24/01/2008 )
   •  7.06.00.67   ( 14/02/2008 )
   •  7.09.00.70   ( 30/01/2009 )
   •  7.09.00.79   ( 13/02/2009 )
   •  7.09.00.83   ( 17/02/2009 )
   •  7.09.00.138   ( 03/04/2009 )
   •  7.09.01.204/8.02.01.204   ( 26/03/2010 )
   •  7.09.01.220/8.02.01.220   ( 15/04/2010 )

 IRC – Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Versteckte Passwörter
    • Speichern der Bildschirmanzeige
    • Speichern von Bildern der Webcam
    • Prozessorgeschwindigkeit
    • Aktueller Benutzer
    • Freier Festplattenplatz
    • Freier Hauptspeicher
    • Arbeitszeit der Malware
    • Informationen über das Netzwerk
    • Informationen über laufende Prozesse
    • Größe des Speichers
    • Information über das Windows Betriebsystem


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • DDoS ICMP Angriff starten
    • DDoS SYN Angriff starten
    • DDoS TCP Angriff starten
    • DDoS UDP Angriff starten
    • DCOM deaktivieren
    • Gesharte Netzlaufwerke deaktivieren
    • vom IRC Server abmelden
    • Datei herunterladen
    • Registry editieren
    • DCOM aktivieren
    • Gesharte Netzlaufwerke aktivieren
    • Datei ausführen
    • IRC Chatraum betreten
    • Prozess abbrechen
    • IRC Chatraum verlassen
    • Öffnen einer remote shell
    • DDoS Attacke durchführen
    • Scannen des Netzwerks
    • Port Weiterleitung durchführen
    • System neu starten
    • Emails verschicken
    • Starte Tastaturüberwachung
    • Starte Verbreitunsroutine
    • Prozess beenden
    • Aktualisiert sich selbst
    • Datei Hinaufladen
    • Besuch einer Webseite

Die Beschreibung wurde erstellt von Andrei Ivanes am Donnerstag, 18. Oktober 2007
Die Beschreibung wurde geändert von Andrei Ivanes am Dienstag, 29. Juni 2010

zurück . . . .