Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:WORM/Conficker.Z.17
Entdeckt am:17/08/2009
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:16.0578 Bytes
MD5 Prfsumme:95AD430ABCA3DA496600F764C120683C
VDF Version:7.01.05.118
IVDF Version:7.01.05.119 - Montag, 17. August 2009

 General Verbreitungsmethode:
   • Lokales Netzwerk


Aliases:
   •  Kaspersky: Net-Worm.Win32.Kido.fz
   •  Sophos: Mal/Conficker-A
   •  Eset: Win32/Conficker.AE worm


Betriebsystem:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Auswirkungen:
   • Erstellt eine Datei

 Dateien Es wird folgende Datei erstellt:

%SYSDIR%\%Nummer%.tmp Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.



Es wird versucht folgende Datei auszufhren:

Dateiname:
   • explorer.exe
unter Zuhilfenahme folgender Kommandozeilen-Parameter: c:

 Infektion ber das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

 Injektion     Prozessname:
   • svchost.exe


 Diverses Greift auf Internetressourcen zu:
   • http://**********tqvpb.org/search?q=0;
      http://**********sgqy.net/search?q=0;
      http://**********qw.ws/search?q=0;
      http://**********lwy.org/search?q=0;
      http://**********jiokcu.info/search?q=0;
      http://**********kg.info/search?q=0;
      http://**********fwbhu.net/search?q=0;
      http://**********jeeoks.cn/search?q=0;
      http://**********aajr.com/search?q=0;
      http://**********pm.cn/search?q=0;
      http://**********lxaxt.biz/search?q=0;
      http://**********dfmbzthp.org/search?q=0;
      http://**********wksyy.info/search?q=0;
      http://**********zeaoqovd.org/search?q=0;
      http://**********aeplduio.cn/search?q=0;
      http://**********xhdao.biz/search?q=0;
      http://**********uknhd.cc/search?q=0;
      http://**********afrpybtg.cc/search?q=0;
      http://**********blz.com/search?q=0;
      http://**********jxw.com/search?q=0;
      http://**********chntbr.org/search?q=0;
      http://**********cwz.net/search?q=0;
      http://**********gevaztd.org/search?q=0;
      http://**********sciw.cn/search?q=0;
      http://**********swqsh.ws/search?q=0;
      http://**********om.com/search?q=0;
      http://**********ogkbraw.ws/search?q=0;
      http://**********jgfnczsd.org/search?q=0;
      http://**********gs.org/search?q=0;
      http://**********rl.biz/search?q=0;
      http://**********tvgrld.ws/search?q=0;
      http://**********zw.com/search?q=0;
      http://**********.getmyip.org/;
      http://**********.google.com/;
      http://**********.whatismyip.org/;
      http://**********.whatsmyipaddress.com/


Mutex:
Es wird folgender Mutex erzeugt:
   • zjufikhflutftitl

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Andrei Ilie am Freitag, 14. Januar 2011
Die Beschreibung wurde geändert von Andrei Ilie am Dienstag, 18. Januar 2011

zurück . . . .