Name:Worm/IrcBot.39673.1
Entdeckt am:28/06/2008
Art:Worm
Nebenart:IRCBot
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:
Dateigröße:~ 40.000 Bytes
IVDF Version:7.00.05.18 - Samstag, 28. Juni 2008

 General Verbreitungsmethoden:
   • Messenger


Alias:
   •  Kaspersky: Backdoor.Win32.IRCBot.duc
   •  Eset: a variant of Win32/Injector.BB trojan


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\wksvcsc.exe

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows UDP Control Services"="wksvcsc.exe"

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: **********.bihsecurity.com
Port: 1868
Passwort des Servers: asd
Channel: #!amt!
Nickname: [00|GBR|027146]
Passwort: openclub


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • Datei herunterladen
    • Registry editieren
    • IRC Chatraum betreten
    • IRC Chatraum verlassen
    • Aktualisiert sich selbst

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Alexander Neth am Dienstag, 1. Juli 2008
Die Beschreibung wurde geändert von Alexander Neth am Dienstag, 1. Juli 2008

zurück . . . .