Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:BDS/Ruskill.em.1
Entdeckt am:14/06/2011
Art:Backdoor Server
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Dateigröße:129.627 Bytes
MD5 Prüfsumme:D06C50A03CAAC7B875397B68AE9DBC51
VDF Version:7.11.09.168 - Dienstag, 14. Juni 2011
IVDF Version:7.11.09.168 - Dienstag, 14. Juni 2011

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Backdoor.Win32.Ruskill.em
   •  Bitdefender: Trojan.VB.Inject.AB
   •  Microsoft: Worm:Win32/Dorkbot.A


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Auswirkungen:
   • Erstellt Dateien
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %APPDATA%\%zufällige Buchstabenkombination%.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%zufällige Buchstabenkombination%"="%APPDATA%\%zufällige Buchstabenkombination%.exe"



Folgender Registryschlüssel wird geändert:

Verringert die Sicherheitseinstellungen des Internet Explorers:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Neuer Wert:
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000000
   • "ProxyServer"=-
   • "ProxyOverride"=-
   • "AutoConfigURL"=-

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: **********-servfail.opendns.com
Port: 1863
Passwort des Servers: ngrBot
Channel: #80t35ref
Nickname: {%random caracters%}%random caracters%
Passwort: 1963.g3rb3rs1t0.3691

Server: **********smynew.info
Port: 1863
Passwort des Servers: ngrBot
Channel: #80t35ref
Nickname: {%random caracters%}%random caracters%
Passwort: 1963.g3rb3rs1t0.3691

Server: **********smynew1.info
Port: 1863
Passwort des Servers: ngrBot
Channel: #80t35ref
Nickname: {%random caracters%}%random caracters%
Passwort: 1963.g3rb3rs1t0.3691

Server: **********smynew2.info
Port: 1863
Passwort des Servers: ngrBot
Channel: #80t35ref
Nickname: {%random caracters%}%random caracters%
Passwort: 1963.g3rb3rs1t0.3691



– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Aktueller Benutzer
    • Information über das Windows Betriebsystem


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • vom IRC Server abmelden
    • IRC Chatraum betreten
    • IRC Chatraum verlassen

 Injektion – Es injiziert sich selbst als Remote-Thread in Prozesse.

    Alle der folgenden Prozesse:
   • explorer.exe
   • csrss.exe
   • services.exe
   • smss.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • svchost.exe
   • winlogon.exe


 Diverses Greift auf Internetressourcen zu:
   • http://api.wipmania.com/

Die Beschreibung wurde erstellt von Andrei Ilie am Dienstag, 9. August 2011
Die Beschreibung wurde geändert von Andrei Ilie am Dienstag, 9. August 2011

zurück . . . .