BKDR_IRCBOT.AUSED
Backdoor.Win32.Ircbot.gen (v) (VIPRE), Backdoor.Win32.Ircbot.gen (v) (AVware)
Windows
Malware-Typ:
Backdoor
Zerstrerisch?:
Nein
Verschlsselt?:
In the wild::
Ja
Überblick
Verwendet den Windows Task-Planer, um einen geplanten Task zu erstellen, der die eingeschleuste Kopie ausführt.
Ändert Registrierungseinträge, um die Einstellungen der Windows Firewall zu deaktivieren. Dadurch kann diese Malware ihre Routinen ausführen, ohne von der Windows Firewall entdeckt zu werden.
Technische Details
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %Temp%\{random filename}.exe
(Hinweis: %Temp% ist der Windows Ordner für temporäre Dateien, normalerweise C:\Windows\Temp oder C:\WINNT\Temp.)
Fügt die folgenden Prozesse hinzu:
- explorer.exe
Verwendet den Windows Task-Planer, um einen geplanten Task zu erstellen, der die eingeschleuste Kopie ausführt.
Autostart-Technik
Erstellt folgende Registrierungseinträge, um die eingeschleuste Komponente bei jedem Systemstart automatisch auszuführen:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
mcafee = "%Temp%\{random filename}.exe"
Die zeitgesteuerte Aufgabe führt die Malware in folgenden Intervallen aus:
- At log on of any user
Andere Systemänderungen
Fügt die folgenden Registrierungsschlüssel hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{random}.exe
HKEY_CURRENT_USER\Software\Win7zip
Fügt die folgenden Registrierungseinträge hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{random}.exe
Debugger = {random}.exe
Ändert die folgenden Registrierungseinträge, um die Einstellungen der Windows Firewall zu deaktivieren:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SharedAccess\Parameters\
FirewallPolicy\PublicProfile
EnableFirewall = 0