Need help? Ask the community or hire an expert.
Go to Avira Answers
Name:Worm/Dorkbot.I.385
Entdeckt am:07/05/2012
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Dateigröße:947.200 Bytes
MD5 Prüfsumme:e8e2ba08f9aff27eed45daa8dbde6159
VDF Version:7.11.29.80 - Montag, 7. Mai 2012
IVDF Version:7.11.29.80 - Montag, 7. Mai 2012

 Allgemein Verbreitungsmethoden:
   • Autorun Dateien
   • Lokales Netzwerk
   • Messenger


Aliases:
   •  Kaspersky: Trojan.Win32.Bublik.jdb
   •  Sophos: Troj/Agent-YCW
   •  Eset: Win32/Dorkbot.B worm
   •  GData: Trojan.Generic.KDV.750742
   •  DrWeb: BackDoor.IRC.NgrBot.42
   •  Norman: Trojan W32/Injector.BMHF


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Kann benutzt werden um Einstellungen am System vorzunehmen, die es möglich machen, Malware auf dem System auszuführen.
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %appdata%\%sechsstellige zufällige Buchstabenkombination%.exe



Es wird folgende Datei erstellt:

– %appdata%\%1 digit random character string%.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Bwzizj"="%appdata%\%sechsstellige zufällige Buchstabenkombination%.exe"

 Diverses Internetverbindung:
Um auf eine verfügbare Internetverbindung zu prüfen werden folgende DNS Server kontaktiert:
   • s177.hot**********.com
   • venus.time**********.pl


Steuerungs Event:
Die folgenden Steuerungs Event werden erstellt:
   • ReadProcessMemory
   • WriteProcessMemory
   • CreateRemoteThread
   • InternetReadFile
   • URLDownlaodToFile
   • InternetOpenURL
   • InternetOpen
   • CreateFile
   • GetAsyncKeyState


String:
Des Weiteren enthält es folgende Zeichenketten:
   • SYN]: Starting flood on "%s:%d" for %d second(s)
   • UDP]: Starting flood on "%s:%d" for %d second(s)
   • HTTP]: Updated HTTP spread interval to "%s"
   • MSN]: Updated MSN spread message to "%s
   • facebook.*/ajax/chat/send.php*
   • friendster.*/sendmessage.php*
   • secure.logmein.*/*logincheck*
   • google.*/*ServiceLoginAuth*
   • screenname.aol.*/login.psp*
   • sms4file.com/*/signin-do*
   • vip-file.com/*/signin-do*
   • moneybookers.*/*login.pl
   • torrentleech.org/*login*
   • webnames.ru/*user_login*
   • bigstring.*/*index.php*
   • login.live.*/*post.srf*
   • depositfiles.*/*/login*
   • thepiratebay.org/login*
   • MSN-> Message Pwned :)!
   • MSN-> Done, MSG is sent
   • DNS]: Blocked DNS "%s"
   • login.yahoo.*/*login*
   • facebook.*/login.php*
   • runescape*/*weblogin*
   • mediafire.com/*login*
   • vkontakte.ru/api.php
   • friendster.*/rpc.php
   • icon=shell32.dll,7
   • steampowered*/login*
   • twitter.com/sessions
   • megaupload.*/*login*
   • sendspace.com/login*
   • 4shared.com/login*
   • hotfile.com/login*
   • netflix.com/*ogin*
   • godaddy.com/login*

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Borland C++ geschrieben.

Beschrijving ingevoegd door Wensin Lee op maandag 8 oktober 2012
Beschrijving bijgewerkt door Wensin Lee op maandag 8 oktober 2012

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.