Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:BDS/Floder.mt
Entdeckt am:20/06/2011
Art:Backdoor Server
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Dateigre:152.064 Bytes
MD5 Prfsumme:2C172284DD0CD1D31C7F7C93E95C727C
VDF Version:7.11.10.37 - Montag, 20. Juni 2011
IVDF Version:7.11.10.37 - Montag, 20. Juni 2011

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: W32.Pilleuz
   •  TrendMicro: TROJ_SPNR.02FS11
     Microsoft: Worm:Win32/Dorkbot.I


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Auswirkungen:
   • Ermglicht unbefugten Zugriff auf den Computer
   • Erstellt Dateien
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %APPDATA%\%zufllige Buchstabenkombination%.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%zufllige Buchstabenkombination%"="%APPDATA%\%zufllige Buchstabenkombination%.exe"



Folgender Registryschlssel wird hinzugefgt:

[HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings]
   • "ProxyEnable"=dword:00000000



Folgender Registryschlssel wird gendert:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Neuer Wert:
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000000
   • "ProxyServer"=-
   • "ProxyOverride"=-
   • "AutoConfigURL"=-

 IRC Um Systeminformationen zu bermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: **********.yourwebfind.com
Port: 5101
Passwort des Servers: hax0r

Server: **********.drwhox.com
Port: 5101
Passwort des Servers: hax0r

Server: **********.babypin.net
Port: 5101
Passwort des Servers: hax0r

Server: **********.beecitysearch.com
Port: 5101
Passwort des Servers: hax0r

Server: **********.mdmads.com
Port: 5101
Passwort des Servers: hax0r



 Dieser Schdling hat die Fhigkeit folgende Informationen zu sammeln und zu bermitteln:
    • Aktueller Benutzer
    • Information ber das Windows Betriebsystem


 Des Weiteren besitzt die Malware die Fhigkeit folgende Aktionen durchzufhren:
    • IRC Chatraum betreten
    • IRC Chatraum verlassen
    • DDoS Attacke durchfhren

 Injektion  Es injiziert sich selbst als Remote-Thread in Prozesse.

    Alle der folgenden Prozesse:
   • explorer.exe
   • svchost.exe
   • winlogon.exe


 Diverses Greift auf Internetressourcen zu:
   • http://api.wipmania.com


String:
Des Weiteren enthlt es folgende Zeichenkette:
   • IsDebuggerPresent

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Andrei Ilie am Montag, 8. August 2011
Die Beschreibung wurde geändert von Andrei Ilie am Montag, 8. August 2011

zurück . . . .