Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Spy.126976.392
Entdeckt am:21/09/2011
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:126.976 Bytes
MD5 Prüfsumme:914BCFB0B339C4DA26D70ADC41EC219A
VDF Version:7.11.15.03 - Mittwoch, 21. September 2011
IVDF Version:7.11.15.03 - Mittwoch, 21. September 2011

 Allgemein Aliases:
   •  Kaspersky: Backdoor.Win32.Ruskill.bts
   •  Microsoft: Worm:Win32/Dorkbot.I
   •  AhnLab: Backdoor/Win32.Ruskill


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Auswirkungen:
   • Erstellt Dateien
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %APPDATA%\%zufällige Buchstabenkombination%.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%zufällige Buchstabenkombination%"="%APPDATA%\%zufällige Buchstabenkombination%.exe"



Folgender Registryschlüssel wird geändert:

Verschiedenste Einstellungen des Explorers:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • "ShowSuperHidden"=dword:00000000

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: **********themarketbaby.com
Port: 3800
Nickname: %zufällige Buchstabenkombination%

Server: **********marketallone.com
Port: 3800
Nickname: %zufällige Buchstabenkombination%

Server: **********lighthousez11.com
Port: 3800
Nickname: %zufällige Buchstabenkombination%

Server: **********grasshopperz11.com
Port: 3800
Nickname: %zufällige Buchstabenkombination%



– Dieser Schädling hat die Fähigkeit folgende Informationen zu sammeln und zu übermitteln:
    • Benutzername
    • Information über das Windows Betriebsystem


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • mit IRC Server verbinden
    • vom IRC Server abmelden
    • IRC Chatraum betreten
    • IRC Chatraum verlassen

 Diverses Greift auf Internetressourcen zu:
   • api.wipmania.com

Die Beschreibung wurde erstellt von Andrei Ilie am Donnerstag, 27. Oktober 2011
Die Beschreibung wurde geändert von Andrei Ilie am Montag, 31. Oktober 2011

zurück . . . .