Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:WORM/IrcBot.56832.4
Entdeckt am:15/11/2010
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:56.832 Bytes
MD5 Prfsumme:400ab8f23844227443cc309c472844dd
VDF Version:7.10.06.91
IVDF Version:7.10.13.241 - Montag, 15. November 2010

 Allgemein Verbreitungsmethode:
    Messenger


Aliases:
   •  Mcafee: W32/YahLover.worm
   •  Kaspersky: Backdoor.Win32.IRCBot.rbe
   •  TrendMicro: WORM_SLENFBOT.DA
   •  F-Secure: Backdoor.Bot.131406
   •  Sophos: Mal/PushBot-A
   •  Bitdefender: Backdoor.Bot.131406


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Auswirkungen:
   • Erstellt Dateien
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\nvsvc32.exe

 Registry Zu jedem Registry key wird je einer der Werte hinzugefgt um die Prozesse nach einem Neustart des Systems erneut zu starten.

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "NVIDIA driver monitor"="%WINDIR%\nvsvc32.exe"



Folgende Registryschlssel werden hinzugefgt:

[HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Start Page"="http://googleure.com"

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%Verzeichnis in dem die Malware ausgefhrt wurde%\%ausgefhrte Datei%"="%WINDIR%\nvsvc32.exe:*:Enabled:NVIDIA driver monitor"

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%Verzeichnis in dem die Malware ausgefhrt wurde%\%ausgefhrte Datei%"="%WINDIR%\nvsvc32.exe:*:Enabled:NVIDIA driver monitor"



Folgender Registryschlssel wird gendert:

[HKLM\SYSTEM\ControlSet001\Services\wuauserv]
   Alter Wert:
   • "Start"=dword:00000002
   Neuer Wert:
   • "Start"=dword:00000004

 Messenger Es verbreitet sich ber Messenger. Die Charakteristiken sind folgende:

 Yahoo Messenger


Nachricht
Die verschickte Nachricht sieht wie eine der folgenden aus:

   • You have only 3 minutes to fill out the selected survey
or you will not have access to your account.
     You have only 3 minutes to fill out the selected survey
or you will be banned from this site.
     

 IRC  Des Weiteren besitzt die Malware die Fhigkeit folgende Aktionen durchzufhren:
    • IRC Chatraum betreten
    • IRC Chatraum verlassen

 Diebstahl  Nachdem eine Webseite besucht wurde dessen URL eine der folgenden Substings enthlt, wird eine Protokollfunktion gestartet:
   • myspace.com
   • facebook.com

 Diverses  Kontaktiert folgende Webseiten um auf eine vorhandene Internetverbindung zu berprfen:
   • albertoshistory.info; ale.pakibili.com; astro.ic.ac.uk;
      ate.lacoctelera.net; beta.neogen.ro; browseusers.myspace.com;
      crl.microsoft.com; deirdremccloskey.org; ds.phoenix-cc.net;
      epp.gunmablog.jp; erdbeerlounge.de; goodreads.com; heidegger.x-y.net;
      hrm.uh.edu; insidehighered.com; jb.asm.org; journalofaccountancy.com;
      journals.lww.com; mas.0730ip.com; mas.ahlamontada.com;
      mas.archivum.info; mas.josbank.com; mas.juegosbakugan.net;
      mas.mtime.com; mas.tguia.cl; mas.univie.ac.at; mcsp.lvengine.com;
      middleastpost.org; mix.price-erotske.in.rs; mix.thenaturistclub.com;
      mmm.bolbalatrust.org; old.longjuyt2tugas.com; old.youku.com;
      ols.systemofadown.com; ope.oaklandathletics.com; opl.munin.irf.se;
      pra.aps.org; pru.landmines.org; qun.51.com; refugee-action.org.uk;
      screenservice.com; scribbidyscrubs.com; shopstyle.com;
      southampton.ac.uk; stayontime.info; summer-uni-sw.eesp.ch;
      transnationale.org; tripadvisor.com; uks.linkedin.com; unclefed.com;
      versatek.com; websitetrafficspy.com; www.myspace.com;
      www.shearman.com; x.myspacecdn.com; xxx.jagdcom.de; xxx.stopklatka.pl

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Ilie am Mittwoch, 23. März 2011
Die Beschreibung wurde geändert von Andrei Ilie am Freitag, 1. April 2011

zurück . . . .