DR/Xbot.L - Dropper

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	DR/Xbot.L
Entdeckt am:	04/08/2006
Art:	Dropper
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	20.384 Bytes
MD5 Prüfsumme:	2188b1bc1342c0824c2f5429678a310C
VDF Version:	6.35.01.46 - Fri, 04 Aug 2006 06:39 (GMT+1) - Fri, 04 Aug 2006 06:39 (GMT+1)
IVDF Version:	6.35.01.46 - Fri, 04 Aug 2006 06:39 (GMT+1) - Fri, 04 Aug 2006 06:39 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • TrendMicro: BKDR_AGENT.DFT
   • Bitdefender: Dropped:Backdoor.Xbot.L

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\remote.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es wird folgende Datei erstellt:

– %SYSDIR%\kernel32.ime Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Erkannt als: BDS/Xbot.L

Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\RpcRemote]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\remote.exe"
   • "DisplayName"="Remote Procedure Call (RPC) Remote"
   • "ObjectName"="LocalSystem"
   • "Description"="Manages the RPC name service database."

– [HKLM\SYSTEM\CurrentControlSet\Services\RpcRemote\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\RpcRemote\Enum]
   • "0"="Root\\LEGACY_RPCREMOTE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Injektion – Es injiziert folgende Datei in einen Prozess: KERNEL32.IME

Prozessname:
• SVCHOST.EXE

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• WinUpack

Kurzfassung hier.

Beschreibung erstellt von Gabriel Mustata am Fri, 11 Aug 2006 16:14 (GMT+1)
Beschreibung geändert von Gabriel Mustata am Mon, 28 Aug 2006 15:25 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück