Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:BDS/Qakbot.A.23
Entdeckt am:15/04/2011
Art:Backdoor Server
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:348.240 Bytes
MD5 Prfsumme:7424b691e2ab78511e7c9679674a0016
VDF Version:7.11.06.137 - Freitag, 15. April 2011
IVDF Version:7.11.06.137 - Freitag, 15. April 2011

 Allgemein Verbreitungsmethode:
    Messenger


Aliases:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.bjjv
   •  F-Secure: Trojan-Spy.Win32.Zbot.bjjv
   •  Bitdefender: Trojan.Generic.5954028
     GData: Trojan.Generic.5954028
     DrWeb: Trojan.DownLoader2.35423


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schdliche Dateien
   • nderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny6.exe



Es werden folgende Dateien erstellt:

%ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny6.dll
%ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny.dll



Es versucht folgende Dateien auszufhren:

Dateiname:
   • %ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny6.exe


Dateiname:
   • cmd /c ping -n 10 localhost && del "%ausgefhrte Datei%"


Dateiname:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "zhpauja"=""%ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny6.exe""

 Messenger Es verbreitet sich ber Messenger. Die Charakteristiken sind folgende:

Windows Live Messenger

Die URL verweit auf eine Kopie der beschriebenen Malware. Ld der Benutzer die Datei auf seinen Computer und startet diese, so wiederholt sich der Infektionsprozess.

 Diebstahl Es wird versucht folgende Information zu klauen:
 In 'Passwort Eingabefelder' eingetippte Passwrter
 Aufgezeichnete Passwrter welche von der AutoComplete Funktion verwendet werden

Passwrter folgender Programme:
   • Internet Explorer
   • Mozilla Firefox
   • Microsoft Outlook

 Injektion –  Es injiziert folgende Datei in einen Prozess: %ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny6.dll

    Prozessname:
   • explorer.exe


 Diverses  Kontaktiert folgende Webseiten um auf eine vorhandene Internetverbindung zu berprfen:
   • http://www.ip-adress.com
   • http://www.ipaddressworld.com
Greift auf Internetressourcen zu:
   • http://bgstat.in/**********
   • http://bgstat.in/**********


Mutex:
Es werden folgende Mutexe erzeugt:
   • uaiwny6%aktueller Benutzernamen%
   • uaiwny%aktueller Benutzernamen%

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Montag, 6. Juni 2011
Die Beschreibung wurde geändert von Petre Galan am Montag, 6. Juni 2011

zurück . . . .