BKDR_TZEEBOT.AG

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird.

Stiehlt bestimmte Daten vom System und/oder dem Benutzer.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Application Data%\netscp.exe
• %Application Data%\{filename}.exe_

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Schleust die folgenden Dateien in den benutzerspezifischen Autostart-Ordner von Windows ein, um sich selbst bei jedem Systemstart auszuführen.

• %User Startup%\Windows Media Player Tray.lnk

(Hinweis: %User Startup% ist der Ordner 'Autostart' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmenü\Programme\Autostart unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Startmenü\Programme\Autostart.)

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

• Replace Files
• Copy Files
• Delete Files
• Upload Files
• Create and terminate processes

Einschleusungsroutine

Schleust die folgenden Dateien ein:

• %Application Data%\Microsoft\Windows\Last Items\AppID.guid
• %Application Data%\Microsoft\Windows\Last Items\{Year_month_day_hour_min_secs}k.tmp
• %User Temp%\{random 8 characters}.tmp
• %User Temp%\{random 8 characters}.0.cs
• %User Temp%\{random 8 characters}.dll
• %User Temp%\{random 8 characters}.cmdline
• %User Temp%\{random 8 characters}.out
• %User Temp%\{random 8 characters}.err
• %User Temp%\CSC10.tmp
• %User Temp%\RES11.tmp

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Datendiebstahl

Stiehlt folgende Daten:

• User name
• Running Process
• IP address
• Keystroke logs
• OS Information

Entwendete Daten

Sendet die gesammelten Daten über SMTP an die folgenden E-Mail-Adressen:

• {BLOCKED}cAnalyzer@yahoo.com