Name:BDS/McMaggot.A
Entdeckt am:04/12/2008
Art:Backdoor Server
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:157.184 Bytes
MD5 Prüfsumme:f596b22087d6404d538825413e266131
IVDF Version:7.01.00.184 - Donnerstag, 4. Dezember 2008

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: W32.Ackantta@mm
   •  Mcafee: W32/Xirtem@MM virus !!!
   •  Kaspersky: Trojan.Win32.Agent.asdj
   •  Grisoft: Downloader.Agent.APQJ
   •  Bitdefender: Backdoor.Bot.67413

Wurde zuvor wie folgt erkannt:
   •  TR/Dropper.Gen


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine Datei
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Es wird folgende Datei erstellt:

%WINDIR%\drm.ocx

 Registry –  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • QnX"="c:\%Verzeichnis in dem die Malware ausgeführt wurde%\qnx.exe

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run
   • "QnX"="c:\%Verzeichnis in dem die Malware ausgeführt wurde%\qnx.exe"



Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {77520Q86-864L-N81R-0R2W-7U2G0P22436U}
   • "StubPath"="\"c:\%Verzeichnis in dem die Malware ausgeführt wurde%\qnx.exe\""

 Hintertür Kontaktiert Server:
Den folgenden:
   • web1.**********.org

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Sende Informationen über:
    • Informationen über laufende Prozesse
    • Starte Tastaturüberwachung

 Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Alexander Neth am Donnerstag, 4. Dezember 2008
Die Beschreibung wurde geändert von Alexander Neth am Donnerstag, 4. Dezember 2008

zurück . . . .