Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/IrcBot.93327
Entdeckt am:05/04/2010
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:93.327 Bytes
MD5 Prüfsumme:ca4abcc5694825fc39112b0b851307d1
IVDF Version:7.10.06.25 - Montag, 5. April 2010

 General Aliases:
   •  Panda: W32/OscarBot.XW
   •  Eset: IRC/SdBot
   •  Bitdefender: Trojan.Generic.3622232


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\infocard.exe
   • %WINDIR%\infocard.exb



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://browseusers.myspace.com/Browse/**********




Es versucht folgende Dateien auszuführen:

– Dateiname:
   • net stop MsMpSvc


– Dateiname:
   • net1 stop MsMpSvc


– Dateiname:
   • netsh firewall add allowedprogram 1.exe 1 ENABLE


– Dateiname:
   • "%WINDIR%\infocard.exe"


– Dateiname:
   • explorer.exe http://browseusers.myspace.com/Browse/Browse.aspx

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Firewall Administrating"="%WINDIR%\infocard.exe"



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%ausgeführte
      Datei%
"="%WINDIR%\infocard.exe:*:Enabled:Firewall Administrating"



Folgender Registryschlüssel wird geändert:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Neuer Wert:
   • "Start Page"="http://www.gllod.com"

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: sls.e2d**********.net
Port: 2345
Channel: #imb
Nickname: NEW-[USA|00|P|%Nummer%]

Die Beschreibung wurde erstellt von Petre Galan am Montag, 28. Juni 2010
Die Beschreibung wurde geändert von Petre Galan am Montag, 28. Juni 2010

zurück . . . .