Need help? Ask the community or hire an expert.
Go to Avira Answers
Name:Worm/Dorkbot.I.385
Entdeckt am:07/05/2012
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Dateigre:947.200 Bytes
MD5 Prfsumme:e8e2ba08f9aff27eed45daa8dbde6159
VDF Version:7.11.29.80 - Montag, 7. Mai 2012
IVDF Version:7.11.29.80 - Montag, 7. Mai 2012

 Allgemein Verbreitungsmethoden:
    Autorun Dateien
   • Lokales Netzwerk
    Messenger


Aliases:
   •  Kaspersky: Trojan.Win32.Bublik.jdb
   •  Sophos: Troj/Agent-YCW
   •  Eset: Win32/Dorkbot.B worm
     GData: Trojan.Generic.KDV.750742
     DrWeb: BackDoor.IRC.NgrBot.42
     Norman: Trojan W32/Injector.BMHF


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
    Kann benutzt werden um Einstellungen am System vorzunehmen, die es mglich machen, Malware auf dem System auszufhren.
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %appdata%\%sechsstellige zufllige Buchstabenkombination%.exe



Es wird folgende Datei erstellt:

%appdata%\%1 digit random character string%.exe Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Bwzizj"="%appdata%\%sechsstellige zufllige Buchstabenkombination%.exe"

 Diverses Internetverbindung:
Um auf eine verfgbare Internetverbindung zu prfen werden folgende DNS Server kontaktiert:
   • s177.hot**********.com
   • venus.time**********.pl


Steuerungs Event:
Die folgenden Steuerungs Event werden erstellt:
   • ReadProcessMemory
   • WriteProcessMemory
   • CreateRemoteThread
   • InternetReadFile
   • URLDownlaodToFile
   • InternetOpenURL
   • InternetOpen
   • CreateFile
   • GetAsyncKeyState


String:
Des Weiteren enthlt es folgende Zeichenketten:
   • SYN]: Starting flood on "%s:%d" for %d second(s)
   • UDP]: Starting flood on "%s:%d" for %d second(s)
   • HTTP]: Updated HTTP spread interval to "%s"
   • MSN]: Updated MSN spread message to "%s
   • facebook.*/ajax/chat/send.php*
   • friendster.*/sendmessage.php*
   • secure.logmein.*/*logincheck*
   • google.*/*ServiceLoginAuth*
   • screenname.aol.*/login.psp*
   • sms4file.com/*/signin-do*
   • vip-file.com/*/signin-do*
   • moneybookers.*/*login.pl
   • torrentleech.org/*login*
   • webnames.ru/*user_login*
   • bigstring.*/*index.php*
   • login.live.*/*post.srf*
   • depositfiles.*/*/login*
   • thepiratebay.org/login*
   • MSN-> Message Pwned :)!
   • MSN-> Done, MSG is sent
   • DNS]: Blocked DNS "%s"
   • login.yahoo.*/*login*
   • facebook.*/login.php*
   • runescape*/*weblogin*
   • mediafire.com/*login*
   • vkontakte.ru/api.php
   • friendster.*/rpc.php
   • icon=shell32.dll,7
   • steampowered*/login*
   • twitter.com/sessions
   • megaupload.*/*login*
   • sendspace.com/login*
   • 4shared.com/login*
   • hotfile.com/login*
   • netflix.com/*ogin*
   • godaddy.com/login*

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Borland C++ geschrieben.

Beschrijving ingevoegd door Wensin Lee op maandag 8 oktober 2012
Beschrijving bijgewerkt door Wensin Lee op maandag 8 oktober 2012

Terug . . . .
https:// Dit venster is voor uw veiligheid gecodeerd.