BKDR_PUSHBOT
Pandex, Harebot, Pushdo
Windows 2000, Windows XP, Windows Server 2003
Type de grayware:
Backdoor
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Détails techniques
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %System%\imPlayok.exe
- %System%\pmpviotnY.exe
- %System%\reader_s.exe
- %System%\reader_s.exe
- %System%\wuaucldt.exe
- %User Profile%\imPlayok.exe
- %User Profile%\pmpviotnY.exe
- %User Profile%\reader_s.exe
- %User Profile%\wuaucldt.exe
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
syncman = "%User Profile%\wuaucldt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
syncman = "%System%\wuaucldt.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
reader_s = "%User Profile%\reader_s.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
reader_s = "%System%\reader_s.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
pmpviotnY = "%User Profile%\pmpviotnY.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
pmpviotnY = "%System%\pmpviotnY.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
imPlayok = "%User Profile%\imPlayok.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
imPlayok = "%System%\imPlayok.exe"