BKDR_FYNLOSKI.YYSWT

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird. Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen.

Zeichnet die Tastatureingaben eines Benutzers auf, um Daten zu entwenden.

Installation

Schleust die folgenden Dateien ein:

• %Application Data%\DcjeswNd\PJGzURi.exe.lnk
• %Application Data%\dclogs\{YYYY-MM-DD-S}.dc - log file where keystrokes and other information are written

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Application Data%\DcjeswNd\PJGzURi.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

• %Application Data%\DcjeswNd
• %Application Data%\dclogs

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• DC_MUTEX-{random 7 alphanumeric characters}

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
shell = %Application Data%\DcjeswNd\PJGzURi.exe,explorer.exe

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\DC3_FEXEC

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

• Disable RegistryTools
• Disable TaskMgr
• Disable Control Panel
• List disk drives
• List webcams and monitor/capture video
• Change MSN Messenger status & modify contact list
• Shutdown, Restart, Log off or Lock computer
• Empty Recycle Bin
• Visit arbitrary C&C servers
• List active windows
• Remote shell command
• Download and execute files
• Download updated copy of itself
• Upload files
• Log keystrokes
• Refresh or delete logs
• Modify system's host file
• Record and play sounds
• Open and close CD-ROM drive door
• Steal passwords
• Get torrent files
• Refresh Wifi
• Uninstall programs
• Start and control chat sessions
• Monitor activity by Remote Desktop Protocol
• DDOS Flooding
• Manipulate the following:
  • Browser
  • Clipboard
  • Desktop
  • Dialog Box
  • Files
  • Folders
  • Mouse clicks
  • Processes
  • Registries
  • Services
  • Shutdown button options
  • Start button
  • System clock
  • System tray
  • Taskbar
• Lessen system security level by:
  • Disabling update notification
  • Disabling AV notification
  • Disabling firewall
  • Disabling services
  • Disabling LUA notification

Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.

• {BLOCKED}igboy101.no-ip.biz:1604

Datendiebstahl

Folgende Daten werden gesammelt:

• Admin rights
• Computer/User name
• Language/Country
• Operating System information
• RAM used
• Web Cam information

Zeichnet die Tastatureingaben eines Benutzers auf, um Daten zu entwenden.