Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:BDS/Bot.145845
Entdeckt am:10/11/2011
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:73.728 Bytes
MD5 Prüfsumme:EE2DC1DC7CCA53CE57015D6564DA2243
VDF Version:7.11.17.126 - Donnerstag, 10. November 2011
IVDF Version:7.11.17.126 - Donnerstag, 10. November 2011

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Clicker.Win32.Agent.vjh
   •  Sophos: W32/Slenfbot-AG
   •  Bitdefender: Backdoor.Bot.145845
   •  Microsoft: Trojan:Win32/Dooxud.A
   •  Eset: Win32/Injector.KTS
   •  DrWeb: BackDoor.IRC.Bot.166


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %HOME%\Application Data\%zufällige Buchstabenkombination%.exe



Es wird folgende Datei erstellt:

%TEMPDIR%\google_cachepages2.tmp Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • website=1




Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • count.lo**********.com/xmyms.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufällige Buchstabenkombination%.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde.

– Die URL ist folgende:
   • coun**********.com/xms0481.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufällige Buchstabenkombination%.exe

– Die URL ist folgende:
   • count.lo**********.com/x200.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufällige Buchstabenkombination%.exe

– Die URL ist folgende:
   • count.lo**********.com/x201.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufällige Buchstabenkombination%.exe

– Die URL ist folgende:
   • count.lo**********.com/x202.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufällige Buchstabenkombination%.exe

– Die URL ist folgende:
   • count.lo**********.com/x203.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufällige Buchstabenkombination%.exe

– Die URL ist folgende:
   • count.ah**********.net/xmyms.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufällige Buchstabenkombination%.exe

– Die URL ist folgende:
   • count.ah**********.net/xms0481.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufällige Buchstabenkombination%.exe

– Die URL ist folgende:
   • count.ah**********.net/x200.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufällige Buchstabenkombination%.exe

– Die URL ist folgende:
   • count.ah**********.net/x201.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufällige Buchstabenkombination%.exe

– Die URL ist folgende:
   • count.ah**********.net/x202.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufällige Buchstabenkombination%.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Offend.kdv.404824.6


– Die URL ist folgende:
   • count.ah**********.net/x203.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufällige Buchstabenkombination%.exe

– Die URL ist folgende:
   • count.sy**********.us/xmyms.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufällige Buchstabenkombination%.exe

– Die URL ist folgende:
   • count.sy**********.us/xms0481.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufällige Buchstabenkombination%.exe

– Die URL ist folgende:
   • count.sy**********.us/x200.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufällige Buchstabenkombination%.exe

– Die URL ist folgende:
   • count.sy**********.us/x201.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufällige Buchstabenkombination%.exe

– Die URL ist folgende:
   • count.sy**********.us/x202.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufällige Buchstabenkombination%.exe

– Die URL ist folgende:
   • count.sy**********.us/x203.exe
Diese wird lokal gespeichert unter: %HOME%\Local Settings\Application Data\%siebenstellige zufällige Buchstabenkombination%.exe

 Registry Folgender Registryschlüssel wird hinzugefügt:

– HKCU\SessionInformation
   • "24hrs"=dword:4ddba780



Folgender Registryschlüssel wird geändert:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Neuer Wert:
   • "userinit"= %SYSDIR%\userinit.exe,%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%.exe -init
     "Taskman" = %HOME%\\Application Data\\%zufällige Buchstabenkombination%.exe -tman

 Hintertür Der folgende Port wird geöffnet:

– iexplore.exe am TCP Port um Backdoor Funktion zur Verfügung zu stellen.


Kontaktiert Server:
Den folgenden:
   • check**********.net

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Sende Informationen über:
    • Information über das Windows Betriebsystem


Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Datei ausführen
    • Besuch einer Webseite

 Injektion – Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • iexplorer.exe


 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • t2fyowming

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Ana Maria Niculescu am Dienstag, 15. November 2011
Die Beschreibung wurde geändert von Ana Maria Niculescu am Dienstag, 15. November 2011

zurück . . . .