Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:BDS/Gaertob.A.64
Entdeckt am:05/07/2011
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:167.936 Bytes
MD5 Prüfsumme:0FB51D42DF8C2FF7CB313FDB84954AE9
VDF Version:7.11.10.214 - Dienstag, 5. Juli 2011
IVDF Version:7.11.10.214 - Dienstag, 5. Juli 2011

 Allgemein Aliases:
   •  Kaspersky: P2P-Worm.Win32.Palevo.ddrw
   •  TrendMicro: WORM_KOLAB.SMQX
   •  Sophos: Mal/Behav-103


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Auswirkungen:
   • Erstellt Dateien
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %APPDATA%\jusched.exe
   • %TEMPDIR%\windump.exe
   • %alle freigegebenen Verzeichnisse%\%zufällige Buchstabenkombination%

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdateSched"="%APPDATA%\jusched.exe"

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: **********fair.hazardflow.info
Port: %Nummer%
Nickname: %zufällige Buchstabenkombination%

Server: **********.234.18.38
Port: %Nummer%
Nickname: %zufällige Buchstabenkombination%



– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Benutzername
    • Information über das Windows Betriebsystem


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • DDoS UDP Angriff starten
    • vom IRC Server abmelden
    • IRC Chatraum betreten
    • IRC Chatraum verlassen

 Prozess Beendigung Prozesse mit einer der folgenden Zeichenketten werden beendet:
   • tcpview
   • wireshark


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Andrei Ilie am Freitag, 7. Oktober 2011
Die Beschreibung wurde geändert von Andrei Ilie am Montag, 10. Oktober 2011

zurück . . . .