Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Agent.57344.3
Entdeckt am:16/11/2006
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:57.344 Bytes
MD5 Prüfsumme:1665469c4c020b04c65f7557f6122c84
IVDF Version:6.36.01.40 - Donnerstag, 16. November 2006

 General Verbreitungsmethode:
   • Autorun Dateien


Aliases:
   •  Bitdefender: Trojan.Generic.4371875
   •  Panda: W32/IrcBot.CYK.worm
   •  Eset: Win32/AutoRun.IRCBot.GH


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ermöglicht unbefugten Zugriff auf den Computer
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %Laufwerk%\Install.exe
   • %HOME%\Application Data\svchost.exe



Es werden folgende Dateien erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

– %HOME%\Application Data\google_cache879.tmp



Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • "C:\Documents and Settings\Administrator\Application Data\svchost.exe"

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Host Process for Windows Services"="%HOME%\Application Data\svchost.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Host Process for Windows Services"="%HOME%\Application Data\svchost.exe"

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: b00m3r4xx.at**********.cx
Port: 4598
Channel: #lol#
Nickname: n[USA|%Nummer%]

 Injektion – Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • svchost.exe


 Diverses Es wird folgender Mutex erzeugt:
   • k7kTksoy

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Montag, 25. Oktober 2010
Die Beschreibung wurde geändert von Petre Galan am Montag, 25. Oktober 2010

zurück . . . .