Zitat: |
W32/Dabber-A ist ein Backdoor-Trojaner und Netzwerkwurm, der mittels zufällig erzeugten IP-Adressen nach Computern sucht, die mit den W32/Sasser-Würmern infiziert sind. Diese infizierten Computer starten einen FTP-Server als Hintergrundprozess und haben entweder die TCP-Ports 5554 oder 9898 geöffnet.
W32/Dabber-A lädt sich auf diese infizierten Computer hoch, indem er einen Fehler in der Implementierung der FTP-Server von W32/Sasser ausnutzt, um sich selbst zu verbreiten. Dieser Wurm kopiert sich als PACKAGE.EXE in den Windows-System (oder System32)-Ordner und mit demselben Dateinamen in das Startmenü. Zum Beispiel: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\package.exe Die folgenden Registrierungseinträge können ebenfalls erstellt werden, so dass der Wurm automatisch beim Systemneustart aktiviert wird: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ sassfix = C:\<Windows System32>\package.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ sassfix = C:\<Windows System32>\package.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ sassfix = C:\<Windows System32>\package.exe |