Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:BDS/Bot.145845
Entdeckt am:10/11/2011
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:73.728 Bytes
MD5 Prfsumme:EE2DC1DC7CCA53CE57015D6564DA2243
VDF Version:7.11.17.126 - Donnerstag, 10. November 2011
IVDF Version:7.11.17.126 - Donnerstag, 10. November 2011

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Clicker.Win32.Agent.vjh
   •  Sophos: W32/Slenfbot-AG
   •  Bitdefender: Backdoor.Bot.145845
     Microsoft: Trojan:Win32/Dooxud.A
   •  Eset: Win32/Injector.KTS
     DrWeb: BackDoor.IRC.Bot.166


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %HOME%\Application Data\%zufllige Buchstabenkombination%.exe



Es wird folgende Datei erstellt:

%TEMPDIR%\google_cachepages2.tmp Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • website=1




Es wird versucht die folgenden Dateien herunterzuladen:

Die URL ist folgende:
   • count.lo**********.com/xmyms.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufllige Buchstabenkombination%.exe Des Weiteren wird diese Datei ausgefhrt nachdem sie vollstndig heruntergeladen wurde.

Die URL ist folgende:
   • coun**********.com/xms0481.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufllige Buchstabenkombination%.exe

Die URL ist folgende:
   • count.lo**********.com/x200.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufllige Buchstabenkombination%.exe

Die URL ist folgende:
   • count.lo**********.com/x201.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufllige Buchstabenkombination%.exe

Die URL ist folgende:
   • count.lo**********.com/x202.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufllige Buchstabenkombination%.exe

Die URL ist folgende:
   • count.lo**********.com/x203.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufllige Buchstabenkombination%.exe

Die URL ist folgende:
   • count.ah**********.net/xmyms.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufllige Buchstabenkombination%.exe

Die URL ist folgende:
   • count.ah**********.net/xms0481.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufllige Buchstabenkombination%.exe

Die URL ist folgende:
   • count.ah**********.net/x200.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufllige Buchstabenkombination%.exe

Die URL ist folgende:
   • count.ah**********.net/x201.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufllige Buchstabenkombination%.exe

Die URL ist folgende:
   • count.ah**********.net/x202.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufllige Buchstabenkombination%.exe Des Weiteren wird diese Datei ausgefhrt nachdem sie vollstndig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Offend.kdv.404824.6


Die URL ist folgende:
   • count.ah**********.net/x203.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufllige Buchstabenkombination%.exe

Die URL ist folgende:
   • count.sy**********.us/xmyms.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufllige Buchstabenkombination%.exe

Die URL ist folgende:
   • count.sy**********.us/xms0481.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufllige Buchstabenkombination%.exe

Die URL ist folgende:
   • count.sy**********.us/x200.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufllige Buchstabenkombination%.exe

Die URL ist folgende:
   • count.sy**********.us/x201.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufllige Buchstabenkombination%.exe

Die URL ist folgende:
   • count.sy**********.us/x202.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufllige Buchstabenkombination%.exe

Die URL ist folgende:
   • count.sy**********.us/x203.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufllige Buchstabenkombination%.exe

 Registry Folgender Registryschlssel wird hinzugefgt:

HKCU\SessionInformation
   • "24hrs"=dword:4ddba780



Folgender Registryschlssel wird gendert:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Neuer Wert:
   • "userinit"= %SYSDIR%\userinit.exe,%Verzeichnis in dem die Malware ausgefhrt wurde%\%ausgefhrte Datei%.exe -init
     "Taskman" = %HOME%\\Application Data\\%zufllige Buchstabenkombination%.exe -tman

 Hintertr Der folgende Port wird geffnet:

iexplore.exe am TCP Port um Backdoor Funktion zur Verfgung zu stellen.


Kontaktiert Server:
Den folgenden:
   • check**********.net

Hierdurch knnen Informationen gesendet und Hintertrfunktionen bereitgestellt werden.

Sende Informationen ber:
     Information ber das Windows Betriebsystem


Mglichkeiten der Fernkontrolle:
     Datei herunterladen
     Datei ausfhren
     Besuch einer Webseite

 Injektion Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • iexplorer.exe


 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • t2fyowming

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Ana Maria Niculescu am Dienstag, 15. November 2011
Die Beschreibung wurde geändert von Ana Maria Niculescu am Dienstag, 15. November 2011

zurück . . . .