Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/IrcBot.229376.1
Entdeckt am:04/07/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:229.376 Bytes
MD5 Prfsumme:2a560ce28707e8ddfc35ec539df1932d
IVDF Version:6.35.00.115 - Dienstag, 4. Juli 2006

 General Verbreitungsmethode:
    Messenger


Aliases:
   •  Sophos: Mal/VBInject-T
   •  Bitdefender: Trojan.Generic.KD.12598
   •  Eset: Win32/Boberog.AQ


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ermglicht unbefugten Zugriff auf den Computer
   • Setzt Sicherheitseinstellungen herunter
   • Erstellt schdliche Dateien
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %HOME%\Application Data\msng.exe



Es wird folgende Datei erstellt:

%SYSDIR%\winsvncs.txt



Es wird versucht folgende Datei auszufhren:

Dateiname:
   • "%HOME%\Application Data\msng.exe"

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows System Guard"="%HOME%\Application Data\msng.exe"



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%HOME%\Application Data\msng.exe"="%HOME%\Application
      Data\msng.exe:*:Enabled:Windows System Guard"

 Messenger Es verbreitet sich ber Messenger. Die Charakteristiken sind folgende:

 AIM Messenger
 Yahoo Messenger


Nachricht
Die verschickte Nachricht sieht wie eine der folgenden aus:

   • olhar para esta foto :D
     se p
      dette bildet :D
     bekijk deze foto :D
     schau mal das foto an :D
     look at this picture :D
     mira esta fotograf
     a :D
     regardez cette photo :D
     guardare quest'immagine :D
     pod
     vejte se na mou fotku :D
     ser p
      dette billede :D
     zd meg a k
     pet :D
     spojrzec na to zdjecie :D
     bu resmi bakmak :D
     katso t
      kuvaa :D
     uita-te la aceasta fotografie :D
     pozrite sa na t
     to fotografiu :D
     titta p
      denna bild :D
     poglej to fotografijo :D
     pogledaj to slike :D
     seen this?? :D

Die URL verweit auf eine Kopie der beschriebenen Malware. Ld der Benutzer die Datei auf seinen Computer und startet diese, so wiederholt sich der Infektionsprozess.

 IRC Um Systeminformationen zu bermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: u.mai**********.com
Port: 81
Channel: #newbin#
Nickname: n[USA|XP]%Nummer%

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Petre Galan am Montag, 9. August 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 12. August 2010

zurück . . . .