Name:Worm/IrcBot.mob
Entdeckt am:15/06/2010
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:106.497 Bytes
MD5 Prüfsumme:2f62dbeb5c53122d70f144f66b0d129e
IVDF Version:7.10.08.89 - Dienstag, 15. Juni 2010

 General Aliases:
   •  Sophos: Mal/VBInject-D
   •  Bitdefender: Trojan.Generic.4023153
   •  Panda: W32/P2PWorm.MI


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ermöglicht unbefugten Zugriff auf den Computer
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %TEMPDIR%\Winlogen.exe



Es wird folgende Datei erstellt:

%TEMPDIR%\google_cache11113.tmp



Es versucht folgende Dateien auszuführen:

– Dateiname:
   • "%TEMPDIR%\Winlogen.exe"


– Dateiname:
   • %TEMPDIR%\Winlogen.exe

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Firewall"="%TEMPDIR%\Winlogen.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Firewall"="%TEMPDIR%\Winlogen.exe"

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: swv2.bot**********.info
Port: 3211
Channel: #sWv2#
Nickname: {NEW}[USA][XP-SP3]%Nummer%

Server: swv2.psy**********.cz
Port: 3211
Channel: #sWv2#
Nickname: {NEW}[USA][XP-SP3]%Nummer%

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Mittwoch, 25. August 2010
Die Beschreibung wurde geändert von Petre Galan am Mittwoch, 25. August 2010

zurück . . . .