BDS/PackBot.Z - Backdoor Server

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	BDS/PackBot.Z
Entdeckt am:	08/08/2006
Art:	Backdoor Server
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	233.472 Bytes
MD5 Prüfsumme:	a3aca7f4b6b355531c9ee36f43ade0d5
VDF Version:	6.35.01.62 - Tue, 08 Aug 2006 07:09 (GMT+1) - Tue, 08 Aug 2006 07:09 (GMT+1)
IVDF Version:	6.35.01.62 - Tue, 08 Aug 2006 07:09 (GMT+1) - Tue, 08 Aug 2006 07:09 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Backdoor.Win32.PackBot.z
   • VirusBuster: iworm I-Worm.Mytob.BV
   • Bitdefender: Backdoor.Bifrose.D

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine Datei
   • Änderung an der Registry

Nach Aktivierung werden folgende Informationen angezeigt:

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\msvhchost.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es wird folgende Datei erstellt:

– Nicht virulente Datei:
• %SYSDIR%\plugin1.dat

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "startkey"="%SYSDIR%\msvhchost.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "startkey"="%SYSDIR%\msvhchost.exe"

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {9B71D88C-C598-4935-C5D1-43AA4DB90836}]
   • "stubpath"="%SYSDIR%\msvhchost.exe s"

Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\Software\The Silicon Realms Toolworks\Armadillo]
   • "{02C266174FFFFFFFF}"=%Hex Werte%

– [HKLM\SOFTWARE\Wget]
   • "nck"=%Hex Werte%

– [HKCU\SOFTWARE\Wget]
   • "klg"=%Hexadezimale Zahl%

Injektion – Es injiziert sich in einen Prozess.

Prozessname:
• iexplore.exe

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• %Hexadezimale Zahl%::DA621E537D

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• Armadillo

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Thu, 10 Aug 2006 14:22 (GMT+1)
Beschreibung geändert von Daniel Constantin am Wed, 23 Aug 2006 16:42 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück