BKDR_IRCBOT.BTG
Backdoor:Win32/IRCbot.gen!S (Microsoft), Trojan.Dropper (Symantec), W32/Sdbot.worm!g (McAfee), Backdoor.Win32.IRCBot.ixx (Kaspersky)
Windows 2000, Windows XP, Windows Server 2003
Type de grayware:
Backdoor
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Détails techniques
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %Windows%\system\msentale.exe
(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Autostart-Technik
Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
Type = "110"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
ImagePath = "%Windows%\system\msentale.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
DisplayName = "Microsoft Security"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
Description = "Microsoft Security"
Registriert sich als Systemdienst, damit die Ausführung bei jedem Systemstart automatisch erfolgt, indem die folgenden Registrierungsschlüssel hinzufügt werden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Security
Andere Systemänderungen
Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\system\msentale.exe = "%Windows%\system\msentale.exe:*:Enabled:Microsoft Enabled"