Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:WORM/IrcBot.AJ
Entdeckt am:09/09/2010
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:94.208 Bytes
MD5 Prfsumme:9F184CBD4FAF4B537829E839C8E46DD7
VDF Version:7.10.05.24
IVDF Version:7.10.11.120 - Donnerstag, 9. September 2010

 Allgemein Verbreitungsmethode:
    Messenger


Aliases:
   •  Symantec: Backdoor.Trojan
   •  Mcafee: W32/YahLover.worm
   •  Kaspersky: Trojan.Win32.Jorik.IRCbot.ez
   •  TrendMicro: TSPY_ONLINEG.MHP
     Microsoft: Worm:Win32/Slenfbot.AKD


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Auswirkungen:
   • Erstellt Dateien
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\nvsvc32.exe
   • %WINDIR%\nvsvc32.exn

 Registry Zu jedem Registry key wird je einer der Werte hinzugefgt um die Prozesse nach einem Neustart des Systems erneut zu starten.

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

 Messenger Es verbreitet sich ber Messenger. Die Charakteristiken sind folgende:

 Yahoo Messenger

 IRC  Des Weiteren besitzt die Malware die Fhigkeit folgende Aktionen durchzufhren:
    • IRC Chatraum betreten
    • IRC Chatraum verlassen

 Diverses  Kontaktiert folgende Webseiten um auf eine vorhandene Internetverbindung zu berprfen:
   • albertoshistory.info; ale.pakibili.com; astro.ic.ac.uk;
      ate.lacoctelera.net; beta.neogen.ro; browseusers.myspace.com;
      deirdremccloskey.org; ds.phoenix-cc.net; epp.gunmablog.jp;
      erdbeerlounge.de; goodreads.com; heidegger.x-y.net; hrm.uh.edu;
      insidehighered.com; jb.asm.org; journalofaccountancy.com;
      journals.lww.com; mas.0730ip.com; mas.ahlamontada.com;
      mas.archivum.info; mas.josbank.com; mas.juegosbakugan.net;
      mas.mtime.com; mas.tguia.cl; mas.univie.ac.at; mcsp.lvengine.com;
      middleastpost.org; mix.price-erotske.in.rs; mix.thenaturistclub.com;
      mmm.bolbalatrust.org; old.longjuyt2tugas.com; old.youku.com;
      ols.systemofadown.com; ope.oaklandathletics.com; opl.munin.irf.se;
      pra.aps.org; pru.landmines.org; qun.51.com; refugee-action.org.uk;
      screenservice.com; scribbidyscrubs.com; shopstyle.com;
      southampton.ac.uk; stayontime.info; summer-uni-sw.eesp.ch;
      transnationale.org; tripadvisor.com; uks.linkedin.com; unclefed.com;
      versatek.com; websitetrafficspy.com; www.myspace.com;
      www.shearman.com; x.myspacecdn.com; xxx.jagdcom.de; xxx.stopklatka.pl

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Ilie am Donnerstag, 24. März 2011
Die Beschreibung wurde geändert von Andrei Ilie am Freitag, 1. April 2011

zurück . . . .