BKDR_PROTUX.SMZKEB-G

Wird ausgeführt und löscht sich dann selbst.

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %User Temp%\{malware name}.exe
• %Windows%\LINKINFO.dll
• %User Temp%\cnagnt.dll
• %User Temp%\ppa{Random hex value}.tmp → temporary DLL
• %User Temp%\RCX{Random hex value}.tmp → temporary DLL
• %Application Data%\cnagnt.dll

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.. %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Dateien ein:

• %User Temp%\1.txt → Contains the malware's process information. Deleted afterwards.
• %User Temp%\ppa{Random hex value}.tmp.vbs
• {Malware path}\q.bat → Uninstall itself. Deleted afterwards.

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Wird ausgeführt und löscht sich dann selbst.

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• tmutexabc

Autostart-Technik

Erstellt folgende Registrierungseinträge, um die eingeschleuste Komponente bei jedem Systemstart automatisch auszuführen:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Conime = "%System%\rundll32" "%User Temp%\ppa{Random hex value}.tmp",Sd

Schleust die folgenden Dateien in den Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.

• %User Startup%\Conime.lnk
• %User Startup%\Conime.exe

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Control Panel\Desktop
WaitToKillAppTimeout = 1000

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

• Upload victim information.
• Execute a batch script, executable file or DLL file.