Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/IrcBot.93327
Entdeckt am:05/04/2010
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:93.327 Bytes
MD5 Prfsumme:ca4abcc5694825fc39112b0b851307d1
IVDF Version:7.10.06.25 - Montag, 5. April 2010

 General Aliases:
   •  Panda: W32/OscarBot.XW
   •  Eset: IRC/SdBot
   •  Bitdefender: Trojan.Generic.3622232


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt eine schdliche Dateien herunter
   • Erstellt schdliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry
   • Ermglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\infocard.exe
   • %WINDIR%\infocard.exb



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.




Es wird versucht folgende Datei herunterzuladen:

Die URL ist folgende:
   • http://browseusers.myspace.com/Browse/**********




Es versucht folgende Dateien auszufhren:

Dateiname:
   • net stop MsMpSvc


Dateiname:
   • net1 stop MsMpSvc


Dateiname:
   • netsh firewall add allowedprogram 1.exe 1 ENABLE


Dateiname:
   • "%WINDIR%\infocard.exe"


Dateiname:
   • explorer.exe http://browseusers.myspace.com/Browse/Browse.aspx

 Registry Die folgenden Registryschlssel werden hinzugefgt um die Prozesse nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%ausgefhrte
      Datei%
"="%WINDIR%\infocard.exe:*:Enabled:Firewall Administrating"



Folgender Registryschlssel wird gendert:

[HKCU\Software\Microsoft\Internet Explorer\Main]
   Neuer Wert:
   • "Start Page"="http://www.gllod.com"

 IRC Um Systeminformationen zu bermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: sls.e2d**********.net
Port: 2345
Channel: #imb
Nickname: NEW-[USA|00|P|%Nummer%]

Die Beschreibung wurde erstellt von Petre Galan am Montag, 28. Juni 2010
Die Beschreibung wurde geändert von Petre Galan am Montag, 28. Juni 2010

zurück . . . .