Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:BDS/Qakbot.A.23
Entdeckt am:15/04/2011
Art:Backdoor Server
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:348.240 Bytes
MD5 Prüfsumme:7424b691e2ab78511e7c9679674a0016
VDF Version:7.11.06.137 - Freitag, 15. April 2011
IVDF Version:7.11.06.137 - Freitag, 15. April 2011

 Allgemein Verbreitungsmethode:
   • Messenger


Aliases:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.bjjv
   •  F-Secure: Trojan-Spy.Win32.Zbot.bjjv
   •  Bitdefender: Trojan.Generic.5954028
   •  GData: Trojan.Generic.5954028
   •  DrWeb: Trojan.DownLoader2.35423


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny6.exe



Es werden folgende Dateien erstellt:

– %ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny6.dll
– %ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny.dll



Es versucht folgende Dateien auszuführen:

– Dateiname:
   • %ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny6.exe


– Dateiname:
   • cmd /c ping -n 10 localhost && del "%ausgeführte Datei%"


– Dateiname:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "zhpauja"=""%ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny6.exe""

 Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– Windows Live Messenger

Die URL verweißt auf eine Kopie der beschriebenen Malware. Läd der Benutzer die Datei auf seinen Computer und startet diese, so wiederholt sich der Infektionsprozess.

 Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter
– Aufgezeichnete Passwörter welche von der AutoComplete Funktion verwendet werden

– Passwörter folgender Programme:
   • Internet Explorer
   • Mozilla Firefox
   • Microsoft Outlook

 Injektion –  Es injiziert folgende Datei in einen Prozess: %ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny6.dll

    Prozessname:
   • explorer.exe


 Diverses  Kontaktiert folgende Webseiten um auf eine vorhandene Internetverbindung zu Überprüfen:
   • http://www.ip-adress.com
   • http://www.ipaddressworld.com
Greift auf Internetressourcen zu:
   • http://bgstat.in/**********
   • http://bgstat.in/**********


Mutex:
Es werden folgende Mutexe erzeugt:
   • uaiwny6%aktueller Benutzernamen%
   • uaiwny%aktueller Benutzernamen%

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Montag, 6. Juni 2011
Die Beschreibung wurde geändert von Petre Galan am Montag, 6. Juni 2011

zurück . . . .