Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Ircbrute.A.41
Entdeckt am:26/05/2009
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Dateigröße:380.341 Bytes
MD5 Prüfsumme:6845f2142762e16f27954662b5ffcd00
VDF Version:7.01.04.18
IVDF Version:7.01.04.19 - Dienstag, 26. Mai 2009

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Bitdefender: Trojan.Generic.8995027
   •  AVG: Generic8_c.CXJ


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Kann zur Ausführung von schädlichem Code verwendet werden
   • Änderung an der Registry

 Dateien Es wird folgende Datei erstellt:

– Nicht virulente Datei:
   • %temporary internet files%\Content.IE5\G9YZGDQJ\ip2country.hackers[1].htm

 Registry Zu jedem Registry key wird je einer der Werte hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Wind Update Agent"="C:\WindowsDirectory\systembinx64.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Wind Updater Agenta"="C:\WindowsDirectory\systembinx64.exe"



Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoSaveSettings"="dword:0x00000001"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "EnableLUA"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters]
   • "EnableFirewall"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"="dword:0x00000000"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
   • "EnableFirewall"="dword:0x00000000"

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"="dword:0x00000000"



Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableChangePassword"="dword:0x00000001"
   • "DisableRegistryTools"="dword:0x00000001"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
   • "LockTaskbar"="dword:0x00000001"

 Diverses Internetverbindung:
Um auf eine verfügbare Internetverbindung zu prüfen werden folgende DNS Server kontaktiert:
   • ip2**********.hackers.lv
   • %zufällige Buchstabenkombination%.INFO


Steuerungs Event:
Die folgenden Steuerungs Event werden erstellt:
   • GetProcessWindowStation
   • FileTimeToLocalFileTime
   • LocalFileTimeToFileTime
   • LookupPrivilegeValueW
   • GetVolumeInformationW
   • SetSystemPowerState
   • DRIVEGETFILESYSTEM
   • LoadUserProfileW
   • RemoveDirectoryW
   • CreateDirectoryW
   • DuplicateHandle
   • GetStartupInfoW
   • DeviceIoControl


String:
Des Weiteren enthält es folgende Zeichenketten:
   • AUTOIT NO CMDEXECUTE<<<
   • TCPNAMETOIP
   • TCPSHUTDOWN

Die Beschreibung wurde erstellt von Wensin Lee am Montag, 29. April 2013
Die Beschreibung wurde geändert von Wensin Lee am Montag, 29. April 2013

zurück . . . .