Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Hacktool.Tcpz.A
Entdeckt am:22/04/2009
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel bis hoch
Statische Datei:Ja
Dateigre:995.328 Bytes
MD5 Prfsumme:3911f7a8d09c467dbf3a05f73f0b8c7d
IVDF Version:7.01.03.91 - Mittwoch, 22. April 2009

 General Aliases:
   •  Mcafee: Generic Rootkit.g trojan
   •  Sophos: W32/Ircbot-AER
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/IRCBot
   •  Bitdefender: IRC-Worm.Generic.3237


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schdliche Dateien
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\svhost.exe



Es wird folgende Datei erstellt:

%SYSDIR%\drivers\sysdrv32.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Hacktool.Tcpz.A

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKLM\SYSTEM\CurrentControlSet\Services\MSNETDED]
   • "Description"=" intrusion detection."
   • "DisplayName"="Network Monitor service"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\svhost.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Die folgenden Registryschlssel werden hinzugefgt um den Service nach einem Neustart des Systems erneut zu laden.

[HKLM\SYSTEM\CurrentControlSet\Services\sysdrv32]
   • "DisplayName"="Play Port I/O Driver"
   • "ErrorControl"=dword:0x00000001
   • "Group"="SST miniport drivers"
   • "ImagePath"="\??\%SYSDIR%\drivers\sysdrv32.sys"
   • "Start"=dword:0x00000003
   • "Type"=dword:0x00000001



Folgende Registryschlssel werden hinzugefgt:

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSNETDED]
   • "@"="Service"

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED]
   • "@"="Service"

 Infektion ber das Netzwerk Exploit:
Folgende Sicherheitslcken werden ausgenutzt:
– MS03-007 (Unchecked Buffer in Windows Component)
 MS04-045 (Vulnerability in WINS)
MS06-040 (Vulnerability in Server Service)

 IRC Um Systeminformationen zu bermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: 7.j3h**********.net
Port: 57
Passwort des Servers: h4xg4ng
Channel: #cunt
Nickname: [00-USA-XP-%Nummer%]

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Montag, 30. November 2009
Die Beschreibung wurde geändert von Petre Galan am Montag, 30. November 2009

zurück . . . .