Name:TR/Hamweq.A
Entdeckt am:15/10/2009
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:65.536 Bytes
MD5 Prüfsumme:0a55c1a79534b88592487c92c54f5b69
IVDF Version:7.01.06.111 - Donnerstag, 15. Oktober 2009

 General Aliases:
   •  Sophos: Mal/Delf-Z
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/IRCBot.ANC
   •  Bitdefender: Backdoor.Bot.91975


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry




   Continuously creates a child process of itself and exits the parent process, within an interval of 1 sec, making difficult to locate and terminate from task manager.

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\svhost.exe

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SYSTEM\CurrentControlSet\Services\MSNETDED]
   • "Description"=" intrusion detection."
   • "DisplayName"="Network Monitor service"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\svhost.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSNETDED]
   • "@"="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED]
   • "@"="Service"

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.

Die Beschreibung wurde erstellt von Petre Galan am Montag, 23. November 2009
Die Beschreibung wurde geändert von Petre Galan am Montag, 23. November 2009

zurück . . . .