Zitat: |
W32/Bobax-A ist ein Netzwerkwurm mit Backdoorfunktionalität.
W32/Bobax-A legt eine zufällig benannte dll im temp-Ordner ab, die alle Hauptfunktionen des Wurms enthält. Die Programmkomponente wird mit einem zufälligen Dateinamen in den Windows-Systemordner kopiert und erstellt einen zufällig benannten Wert in folgenden Registrierungseinträgen, so dass der Wurm gestartet wird, sobald sich ein Benutzer an Windows anmeldet: HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Die DLL wird in den Explorer-Prozess geladen und sendet zuerst eine Anfrage an einen Hacker an einem Computer in einer der folgenden Domänen: dns4biz.org hopto.org no-ip.info W32/Bobax-A erstellt eine Backdoor zu dem befallenen Computer. Ein Angreifer kann dann über diese Backdoor den Wurm anweisen, nach zufälligen IP-Adressen für Computer zu suchen, auf die sich der Wurm mit Hilfe der LSASS-Schwachstelle kopieren kann. Diese Schwachstelle wird Berichten zufolge mit dem Microsoft Security Bulletin MS04-011 behoben. |