Verfasst am: 17.05.2004, 21:14| Zitat: |
| IRC/Krisworm-C wird in Verbindung mit einem MIRC-Client verwendet, um Fernzugriff auf den Host-Computer zu ermöglichen
W32/Krisworm-A ist ein Wurm, der sich auf Computer mit einfachen Administrator- und Benutzerkennwörtern verbreitet. Der Wurm installiert mehrere Dateien im Fonts-Unterordner innerhalb des Windows-Fonts-Ordners und fügt folgenden Eintrag zur Registrierung hinzu: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ xxcm= <Windows fonts>\fonts\sys.exe Die schädlichen Dateien, die der Wurm installiert, sind: darkhell fgr.bat finger.ins hema.exe never.bat s.c too1.exe man.bat (von Sophos Anti-Virus erkannt als Troj/Noshare-N) Der Wurm installiert folgende Dateien, die aber nicht schädlich sind: a.q - eine Wörterliste bd.exe - ein Dienstprogramm zum Verstecken von Fenstern dex.exe - ein Netzwerkdienstprogramm zum Starten von Prozessen auf anderen Computern fhgh.cca - eine Textdatei mit einem Zähler kern.exe - ein Dienstprogramm, das aktive Prozesse auflistet Sys.exe - eine Kopie des mIRC-Chat-Clients x.xx - eine Textdatei mit einer Liste von IP-Bereichen W32/Krisworm-A versucht, sich auf die admin$-Freigabe auf remoten Computern zu kopieren und diese Kopie auszuführen. Der Wurm fungiert als Backdoor und als IRC-Proxyserver und ermöglicht einem remoten Angreifer die Steuerung über den infizierten Computer. |
output generated using printer-friendly topic mod, Alle Zeiten sind GMT + 1 Stunde