Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Dorkbot.A.387
Entdeckt am:20/07/2011
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:179.712 Bytes
MD5 Prüfsumme:53422FC023412D12C429B6289F5075BC
VDF Version:7.11.12.21 - Mittwoch, 20. Juli 2011
IVDF Version:7.11.12.21 - Mittwoch, 20. Juli 2011

 Allgemein Verbreitungsmethode:
   • Autorun Dateien
   • Email
   • Messenger


Aliases:
   •  Kaspersky: Trojan.Win32.Jorik.IRCbot.aha
   •  TrendMicro: TROJ_SPNR.02GB11
   •  Sophos: Mal/VBCheMan-A


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Auswirkungen:
   • Ermöglicht unbefugten Zugriff auf den Computer
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Erstellt Dateien
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %APPDATA%\%zufällige Buchstabenkombination%.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

 Registry Zu jedem Registry key wird je einer der Werte hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%zufällige Buchstabenkombination%"="%APPDATA%\%zufällige Buchstabenkombination%.exe"

–  [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%zufällige Buchstabenkombination%"="%APPDATA%\%zufällige Buchstabenkombination%.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%zufällige Buchstabenkombination%"="%APPDATA%\%zufällige Buchstabenkombination%.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "Shell"="explorer.exe,%APPDATA%\%zufällige Buchstabenkombination%.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "Shell"="explorer.exe,%APPDATA%\%zufällige Buchstabenkombination%.exe"

 Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– Windows Live Messenger
– Yahoo Messenger

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: **********.photomarket.me
Port: 1234
Channel: #ngr
Nickname: %zufällige Buchstabenkombination%



– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Aktueller Benutzer
    • Benutzername
    • Information über das Windows Betriebsystem


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • DDoS SYN Angriff starten
    • DDoS UDP Angriff starten
    • vom IRC Server abmelden
    • Datei herunterladen
    • IRC Chatraum betreten
    • IRC Chatraum verlassen
    • DDoS Attacke durchführen
    • System neu starten
    • Starte Verbreitunsroutine

 Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter

– Nachdem eine Webseite besucht wurde dessen URL eine der folgenden Substings enthält, wird eine Protokollfunktion gestartet:
   • .moneybookers.; 1and1.com; 4shared.com; alertpay.com; aol.;
      bcointernacional; bigstring.; depositfiles.; dotster.com; dyndns;
      enom.com; facebook.; fastmail.; fileserv.com; filesonic.com;
      freakshare.com; gmx.; godaddy.com; google.; hackforums.; hotfile.com;
      letitbit.net; login.live.; login.yahoo.; mediafire.com; megaupload.;
      members*.iknowthatgirl; members.brazzers.com; moniker.com;
      namecheap.com; netflix.com; netload.in; no-ip; officebanking.cl;
      oron.com; paypal.; runescape; screenname.aol.; secure.logmein.;
      sendspace.com; signin.ebay; sms4file.com; speedyshare.com;
      steampowered; thepiratebay.org; torrentleech.org; twitter.com;
      uploaded.to; uploading.com; vip-file.com; webnames.ru; what.cd; whcms;
      youporn.

– Aufgezeichnet wird:
    • Anmeldeinformation

 Injektion – Es injiziert sich selbst als Remote-Thread in Prozesse.

    Alle der folgenden Prozesse:
   • alg.exe; chrome.exe; csrss.exe; explorer.exe; firefox.exe; flock.exe;
      ieuser.exe; iexplore.exe; msmsgs.exe; msnmsgr.exe; opera.exe;
      pidgin.exe; services.exe; smss.exe; spoolsv.exe; svchost.exe;
      winlogon.exe; wlcomm.exe; wuauclt.exe; %Zufallszahlen%



Zweck:
Der Zugriff auf folgende Webseiten wird effektiv unterbunden:
   • *avast.*; *avira.*; *bitdefender.*; *bullguard.*; *clamav.*;
      *comodo.*; *emsisoft.*; *eset.*; *f-secure.*; *fortinet.*;
      *garyshood.*; *gdatasoftware.*; *heck.tc*; *iseclab.*; *jotti.*;
      *kaspersky.*; *lavasoft.*; *malwarebytes.*; *mcafee.*; *norman.*;
      *norton.*; *novirusthanks.*; *onecare.live.*; *onlinemalwarescanner.*;
      *pandasecurity.*; *precisesecurity.*; *sophos.*; *sunbeltsoftware.*;
      *symantec*; *threatexpert.*; *trendmicro.*; *virscan.*; *virus.*;
      *virusbuster.nprotect.*; *viruschief.*; *virustotal.*; *webroot.*


 Diverses Greift auf Internetressourcen zu:
   • api.wipmania.com


Mutex:
Es wird folgender Mutex erzeugt:
   • paraboner-Mutex

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Ilie am Donnerstag, 18. August 2011
Die Beschreibung wurde geändert von Andrei Ilie am Donnerstag, 18. August 2011

zurück . . . .