Zaubi Administrator
Anmeldungsdatum: 30.04.2003 Beiträge: 1348
Wohnort: ... zu Hause
Beitrag drucken
|
Verfasst am: 17.05.2004, 21:07 Titel: W32/Dabber-A |
|
|
W32/Dabber-A
Zitat: |
W32/Dabber-A ist ein Backdoor-Trojaner und Netzwerkwurm, der mittels zufällig erzeugten IP-Adressen nach Computern sucht, die mit den W32/Sasser-Würmern infiziert sind. Diese infizierten Computer starten einen FTP-Server als Hintergrundprozess und haben entweder die TCP-Ports 5554 oder 9898 geöffnet.
W32/Dabber-A lädt sich auf diese infizierten Computer hoch, indem er einen Fehler in der Implementierung der FTP-Server von W32/Sasser ausnutzt, um sich selbst zu verbreiten.
Dieser Wurm kopiert sich als PACKAGE.EXE in den Windows-System (oder System32)-Ordner und mit demselben Dateinamen in das Startmenü.
Zum Beispiel:
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\package.exe
Die folgenden Registrierungseinträge können ebenfalls erstellt werden, so dass der Wurm automatisch beim Systemneustart aktiviert wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
sassfix = C:\<Windows System32>\package.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
sassfix = C:\<Windows System32>\package.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
sassfix = C:\<Windows System32>\package.exe |
http://www.sophos.de/virusinfo/analyses/w32dabbera.html
Quelle: Sophos _________________
Engel fliegen leise! |
|