Name:Worm/Spybot.95744
Entdeckt am:06/05/2005
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:95.744 Bytes
MD5 Prüfsumme:19ad756af282a3af98dc50f3c40e51b0
IVDF Version:6.30.00.159 - Freitag, 6. Mai 2005

 General Aliases:
   •  Mcafee: Generic.dx
   •  Bitdefender: Trojan.Generic.3291040
   •  Eset: Win32/Poebot.NCA


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ermöglicht unbefugten Zugriff auf den Computer
   • Setzt Sicherheitseinstellungen herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\spooIsv.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Folgende Datei wird gelöscht:
   • %Verzeichnis in dem die Malware ausgeführt wurde%\kgorzsd.bat



Es wird folgende Datei erstellt:

%Verzeichnis in dem die Malware ausgeführt wurde%\kgorzsd.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.



Es versucht folgende Dateien auszuführen:

– Dateiname:
   • cmd /c ""%Verzeichnis in dem die Malware ausgeführt wurde%\kgorzsd.bat" "


– Dateiname:
   • %SYSDIR%\spooIsv.exe

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Spooler SubSystem App"="%SYSDIR%\spooIsv.exe"



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\spooIsv.exe"="%SYSDIR%\spooIsv.exe:*:Enabled:Spooler
      SubSystem App"

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: her.d0k**********.com
Port: 4466
Channel: #balengor
Nickname: d[cUnawXg]b

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Borland C++ geschrieben.

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 12. August 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 12. August 2010

zurück . . . .