Vollständige Virenbeschreibung

Name:	DR/Zapchast.AI
Entdeckt am:	04/08/2008
Art:	Dropper
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	722.407 Bytes
MD5 Prüfsumme:	7824396444ea3c178cc677b6de9f49c8
IVDF Version:	7.00.05.209 - Montag, 4. August 2008

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Backdoor.Trojan
   • Mcafee: IRC/Flood.gen.dr
   • Kaspersky: not-a-virus:Client-IRC.Win32.mIRC.601
   • TrendMicro: Mal_Zap
   • F-Secure: Backdoor.Win32.mIRC-based
   • Sophos: Mal/Zapchas-C
   • Panda: Bck/mIRCBased.BC
   • Grisoft: IRC/BackDoor.Flood
   • VirusBuster: Backdoor.MIRC-based.X
   • Eset: IRC/Cloner.BI trojan
   • Bitdefender: Trojan.Mirchack.A

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Erstellt schädliche Dateien

Dateien Es werden folgende Verzeichnisse erstellt:
   • %Papierkorb%\S-1-5-21-606747145-1085031214-725345543-500\
   • %Papierkorb%\S-1-5-21-606747145-1085031214-725345543-500\download

Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %Papierkorb%\S-1-5-21-606747145-1085031214-725345543-500\aliases.ini;
      %Papierkorb%\S-1-5-21-606747145-1085031214-725345543-500\control.ini;
      %Papierkorb%\S-1-5-21-606747145-1085031214-725345543-500\Desktop.ini;
      %Papierkorb%\S-1-5-21-606747145-1085031214-725345543-500\fullname.txt;
      %Papierkorb%\S-1-5-21-606747145-1085031214-725345543-500\identd.txt;
      %Papierkorb%\S-1-5-21-606747145-1085031214-725345543-500\instsrv.exe;
      %Papierkorb%\S-1-5-21-606747145-1085031214-725345543-500\mirc.ico;
      %Papierkorb%\S-1-5-21-606747145-1085031214-725345543-500\mirc.ini;
      %Papierkorb%\S-1-5-21-606747145-1085031214-725345543-500\popups.txt;
      %Papierkorb%\S-1-5-21-606747145-1085031214-725345543-500\remote.ini;
      %Papierkorb%\S-1-5-21-606747145-1085031214-725345543-500\servers.ini;
      %Papierkorb%\S-1-5-21-606747145-1085031214-725345543-500\svchost.exe;
      %Papierkorb%\S-1-5-21-606747145-1085031214-725345543-500\users.ini

– %Papierkorb%\S-1-5-21-606747145-1085031214-725345543-500\a.reg Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: IRC/Cloner.BI

– %Papierkorb%\S-1-5-21-606747145-1085031214-725345543-500\csrss.exe Erkannt als: BDS/mIRC-593262.A

– %Papierkorb%\S-1-5-21-606747145-1085031214-725345543-500\script.ini Erkannt als: IRC/Zapchast.AI

– %Papierkorb%\S-1-5-21-606747145-1085031214-725345543-500\sup.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: DR/Runner.B

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Die Beschreibung wurde erstellt von Thomas Wegele am Montag, 11. August 2008
Die Beschreibung wurde geändert von Philipp Wolf am Montag, 11. August 2008

zurück . . . .