BKDR_IRCBOT.AUSED
Backdoor.Win32.Ircbot.gen (v) (VIPRE), Backdoor.Win32.Ircbot.gen (v) (AVware)
Windows
Tipo de grayware:
Backdoor
Destrutivo:
Não
Criptografado:
In the Wild:
Sim
Visão geral
Verwendet den Windows Task-Planer, um einen geplanten Task zu erstellen, der die eingeschleuste Kopie ausführt.
Ändert Registrierungseinträge, um die Einstellungen der Windows Firewall zu deaktivieren. Dadurch kann diese Malware ihre Routinen ausführen, ohne von der Windows Firewall entdeckt zu werden.
Detalhes técnicos
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %Temp%\{random filename}.exe
(Hinweis: %Temp% ist der Windows Ordner für temporäre Dateien, normalerweise C:\Windows\Temp oder C:\WINNT\Temp.)
Fügt die folgenden Prozesse hinzu:
- explorer.exe
Verwendet den Windows Task-Planer, um einen geplanten Task zu erstellen, der die eingeschleuste Kopie ausführt.
Autostart-Technik
Erstellt folgende Registrierungseinträge, um die eingeschleuste Komponente bei jedem Systemstart automatisch auszuführen:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
mcafee = "%Temp%\{random filename}.exe"
Die zeitgesteuerte Aufgabe führt die Malware in folgenden Intervallen aus:
- At log on of any user
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{random}.exe
HKEY_CURRENT_USER\Software\Win7zip
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{random}.exe
Debugger = {random}.exe
Ändert die folgenden Registrierungseinträge, um die Einstellungen der Windows Firewall zu deaktivieren:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\PublicProfile
EnableFirewall = 0