Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:WORM/Cycbot.S.4
Entdeckt am:26/07/2011
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:171.520 Bytes
MD5 Prfsumme:D2954496B08A6308BE4EE669C261BD3A
VDF Version:7.11.12.128 - Dienstag, 26. Juli 2011
IVDF Version:7.11.12.128 - Dienstag, 26. Juli 2011

 Allgemein Aliases:
   •  Kaspersky: Trojan.Win32.Menti.hirs
   •  TrendMicro: BKDR_CYCBOT.SMIB
     Microsoft: Backdoor:Win32/Cycbot.B


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %HOME%\Application Data\Microsoft\conhost.exe



Es wird folgende Datei erstellt:

%HOME%\Application Data\C826.657

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "conhost"="%HOME%\Application Data\Microsoft\conhost.exe"



Folgender Registryschlssel wird hinzugefgt:

[HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings]
   • "ProxyEnable"=dword:00000001



Folgender Registryschlssel wird gendert:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Neuer Wert:
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000001
   • "ProxyServer"="http=127.0.0.1:%Nummer%"
   • "ProxyOverride"=-
   • "AutoConfigURL"=-

 Diverses  Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu berprfen:
   • http://www.google.com
Greift auf Internetressourcen zu:
   • http://crazyleafdesign.com/blog/images/share/**********?v84=%Nummer%&tq=%Zeichenfolge%
   • http://zonetf.com/**********?tq=%Zeichenfolge%
   • http://zoneoc.com/blog/images/**********?v50=%Nummer%&tq=%Zeichenfolge%
   • http://smallautosite.com/blog/images/**********?v32=%Nummer%&tq=%Zeichenfolge%


Mutex:
Es werden folgende Mutexe erzeugt:
   • {7791C364-DE4E-4000-9E92-9CCAFDDD90DC}
   • {A5B35993-9674-43cd-8AC7-5BC5013E617B}
   • {B37C48AF-B05C-4520-8B38-2FE181D5DC78}
   • {61B98B86-5F44-42b3-BCA1-33904B067B81}

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Andrei Ilie am Dienstag, 1. November 2011
Die Beschreibung wurde geändert von Andrei Ilie am Mittwoch, 2. November 2011

zurück . . . .