Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/VB.kkb
Entdeckt am:29/11/2011
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel
VDF Version:7.11.18.123 - Dienstag, 29. November 2011
IVDF Version:7.11.18.123 - Dienstag, 29. November 2011

 Allgemein Verbreitungsmethoden:
   • Autorun Dateien
   • Lokales Netzwerk
   • Messenger


Aliases:
   •  Mcafee: Generic
   •  Kaspersky: Trojan.Win32.Jorik.IRCbot.ded
   •  Bitdefender: Worm.Dorkbot.A
   •  Grisoft: Generic25.AVWP
   •  Eset: a variant of Win32/Injector.KLN trojan
   •  GData: Worm.Dorkbot.A
   •  DrWeb: Trojan.MulDrop3.13802
   •  Norman: Trojan W32/VBInject.ADL


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Kann benutzt werden um Einstellungen am System vorzunehmen, die es möglich machen, Malware auf dem System auszuführen.
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %APPDATA%\%sechsstellige zufällige Buchstabenkombination%.exe

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Bwzizj"="%APPDATA%\\%sechsstellige zufällige Buchstabenkombination%.exe"

 Diverses Internetverbindung:
Um auf eine verfügbare Internetverbindung zu prüfen werden folgende DNS Server kontaktiert:
   • **********m0001.in
   • **********m0002.in


Steuerungs Event:
Die folgenden Steuerungs Event werden erstellt:
   • ReadProcessMemory
   • WriteProcessMemory
   • CreateRemoteThread
   • InternetReadFile
   • URLDownloadToFile
   • InternetOpenUrl
   • InternetOpen
   • CreateFile


String:
Des Weiteren enthält es folgende Zeichenketten:
   • AV_sites
   • Starting flood
   • IRC Command
   • login
   • password
   • banking
   • pin
   • money
   • account
   • login.yahoo.*/*login*
   • facebook.*/login.php*
   • runescape*/*weblogin*
   • mediafire.com/*login*
   • freakshare.com/login*
   • uploading.com/*login*
   • filesonic.com/*login*
   • namecheap.com/*login*
   • speedyshare.com/login*
   • depositfiles.*/*/login*
   • thepiratebay.org/login*
   • bcointernacional*login*
   • uploaded.to/*login*
   • alertpay.com/login*
   • moniker.com/*Login*
   • dotster.com/*login*
   • oron.com/login*
   • ngrBot Error

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Wensin Lee am Freitag, 14. September 2012
Die Beschreibung wurde geändert von Wensin Lee am Freitag, 14. September 2012

zurück . . . .