Zaubi Administrator
Anmeldungsdatum: 30.04.2003 Beiträge: 1348
Wohnort: ... zu Hause
Beitrag drucken
|
Verfasst am: 17.05.2004, 21:14 Titel: IRC/Krisworm-C |
|
|
IRC/Krisworm-C
Zitat: |
IRC/Krisworm-C wird in Verbindung mit einem MIRC-Client verwendet, um Fernzugriff auf den Host-Computer zu ermöglichen
W32/Krisworm-A ist ein Wurm, der sich auf Computer mit einfachen Administrator- und Benutzerkennwörtern verbreitet.
Der Wurm installiert mehrere Dateien im Fonts-Unterordner innerhalb des Windows-Fonts-Ordners und fügt folgenden Eintrag zur Registrierung hinzu:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
xxcm= <Windows fonts>\fonts\sys.exe
Die schädlichen Dateien, die der Wurm installiert, sind:
darkhell
fgr.bat
finger.ins
hema.exe
never.bat
s.c
too1.exe
man.bat (von Sophos Anti-Virus erkannt als Troj/Noshare-N)
Der Wurm installiert folgende Dateien, die aber nicht schädlich sind:
a.q - eine Wörterliste
bd.exe - ein Dienstprogramm zum Verstecken von Fenstern
dex.exe - ein Netzwerkdienstprogramm zum Starten von Prozessen auf anderen Computern
fhgh.cca - eine Textdatei mit einem Zähler
kern.exe - ein Dienstprogramm, das aktive Prozesse auflistet
Sys.exe - eine Kopie des mIRC-Chat-Clients
x.xx - eine Textdatei mit einer Liste von IP-Bereichen
W32/Krisworm-A versucht, sich auf die admin$-Freigabe auf remoten Computern zu kopieren und diese Kopie auszuführen. Der Wurm fungiert als Backdoor und als IRC-Proxyserver und ermöglicht einem remoten Angreifer die Steuerung über den infizierten Computer. |
http://www.sophos.de/virusinfo/analyses/w32krisworma.html
Quelle: Sophos _________________
Engel fliegen leise! |
|