D
Deibelchen
Guest
W32/Rbot-CP
W32/Rbot-CP ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu kopieren. Er verfügt außerdem über Backdoortrojaner-Funktionalität, wodurch unbefugter Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht wird, während der Wurm als Dienstprozess im Hintergrund aktiv ist.
W32/Rbot-CP verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern, nachdem das Backdoortrojaner-Element den entsprechenden Befehl von einem remoten Anwender erhalten hat.
W32/Rbot-CP kopiert sich als TSKDBG.EXE in den Windows-Systemordner und erstellt Einträge in der Registrierung an folgenden Stellen, so dass er beim Systemstart aktiviert wird:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Task Debugger = tskdbg.exe
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Task Debugger = tskdbg.exe
W32/Rbot-CP kann auch folgende Registrierungseinträge erstellen:
HKLMSYSTEMControlSet001Serviceslanmanserverparameters
AutoShareWks = 0
AutoShareServer = 0
HKLMSYSTEMControlSet001Serviceslanmanworkstationparameters
AutoShareWks = 0
AutoShareServer = 0
HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters
AutoShareWks = 0
AutoShareServer = 0
HKLMSYSTEMCurrentControlSetServiceslanmanworkstationparameters
AutoShareWks = 0
AutoShareServer = 0
HKLMSOFTWAREMicrosoftOle
EnableDCOM = N
HKLMSYSTEMCurrentControlSetControlLsa
restrictanonymous = 1
HKLMSYSTEMControlSet001ServicesMessenger
Start = 4
HKLMSYSTEMControlSet001ServicesRemoteRegistry
Start = 4
HKLMSYSTEMControlSet001ServicesTlntSvr
Start = 4
HKLMSYSTEMCurrentControlSetControlLsa
restrictanonymous = 1
HKLMSYSTEMCurrentControlSetServicesMessenger
Start = 4
HKLMSYSTEMCurrentControlSetServicesRemoteRegistry
Start = 4
HKLMSYSTEMCurrentControlSetServicesTlntSvr
Start = 4
---------------------------------------------------------------------------------------------------------------------------------------
Troj/Sory-A
Troj/Sory-A ist ein Kennwort stehlender Trojaner.
Wenn er erstmals ausgeführt wird, erstellt der Trojaner eine Kopie von sich namens Services.exe sowie einen Ordner namens Temp im Windows-Systemordner. Die folgenden Daten werden in zufällig benannten Dateien in diesem Ordner gespeichert:
* Angaben zum Prozessor und Speicher des Computers
* Betriebssystemversion und registrierter Besitzer
* POP3- und SMTP-Einstellungen
* gespeicherte Tastenfolgen
----------------------------------------------------------------
Troj/BankHook-A
Troj/BankHook-A ist ein Internet-Banking-Trojaner, der versucht, vertrauliche Bankdaten aufzuspüren und diese an einen remoten Ort zu senden.
Troj/BankHook-A installiert eine COM DLL, mit der (über ein weiteres ausführbares Modul) der Inhalt von HTTP-GET- und HTTP-POST-Nachrichten aufgespürt und gespeichert werden kann, die an HOST-URLs mit folgenden Zeichenfolgen gesendet werden:
commbank.com.au
.citibank.com
.stgeorge.com.au
.bendigobank.com.au
.anz.com
national.com.au
westpac.com.au
.hsbc.com.au
barclays.co.uk
lloydstsb.co.uk
citibank.com.au
.online-banking.standardchartered.com.hk
.hsbc.com.hk
.deutsche-bank.de
.citibank.de
.sparkasse-banking.de
banking.lbbw.de
dit-online.de
.dab-bank.com
www1.bmo.com
cibconline.cibc.com
www1.royalbank.com
easyweb.tdcanadatrust.com
suncorpmetway.com.au
cd.citibank.co.ae
ebank.uae.hsbc.com
banknetpower.net
nbd.ae
online-banking.standardchartered.ae
standardchartered.com
banking.mashreqbank.com
online.nbad.com
pbg1.edc.citiaccess.com
ekocbank.kocbank.com.tr
internetsube.akbank.com.tr
hercules.pamukbank.com.tr
.e-gold.com.
Die gespeicherten Daten werden via HTTP POST an einen remoten Speicherort gesendet.
-------------------------------------------------------------------------
W32/Forbot-D
W32/Forbot-D ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er enthält außerdem Backdoortrojaner-Funktionalität, wodurch unbefugter Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht wird, während der Wurm als Dienstprozess im Hintergrund aktiv ist.
W32/Forbot-D kopiert sich als SMSC.EXE in den Windows-Systemordner und erstellt Einträge in der Registrierung an folgenden Stellen, so dass er beim Systemstart aktiviert wird:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWin32 USB2 Driver
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceWin32 USB2 Driver
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesWin32 USB2 Driver
HKCUSoftwareMicrosoftWindowsCurrentVersionRunWin32 USB2 Driver
HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnceWin32 USB2 Driver
W32/Forbot-D erstellt außerdem seinen eigenen Dienst namens "Microsoft Config", für den der Name "Win32 USB2 Driver" angezeigt wird.
W32/Forbot-D versucht, verschiedene Prozesse zu beenden, die mit Sicherheits- und Antiviren-Programmen im Zusammenhang stehen.
W32/Forbot-D versucht, sich auf Netzwerk-Computer zu verbreiten, indem er verschiedene Schwachstellen, darunter die LSASS-Schwachstelle (siehe MICROSOFT 04-011), ausnutzt.
-------------------------------------------------------------------------
W32/Rbot-CP ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu kopieren. Er verfügt außerdem über Backdoortrojaner-Funktionalität, wodurch unbefugter Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht wird, während der Wurm als Dienstprozess im Hintergrund aktiv ist.
W32/Rbot-CP verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern, nachdem das Backdoortrojaner-Element den entsprechenden Befehl von einem remoten Anwender erhalten hat.
W32/Rbot-CP kopiert sich als TSKDBG.EXE in den Windows-Systemordner und erstellt Einträge in der Registrierung an folgenden Stellen, so dass er beim Systemstart aktiviert wird:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Task Debugger = tskdbg.exe
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Task Debugger = tskdbg.exe
W32/Rbot-CP kann auch folgende Registrierungseinträge erstellen:
HKLMSYSTEMControlSet001Serviceslanmanserverparameters
AutoShareWks = 0
AutoShareServer = 0
HKLMSYSTEMControlSet001Serviceslanmanworkstationparameters
AutoShareWks = 0
AutoShareServer = 0
HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters
AutoShareWks = 0
AutoShareServer = 0
HKLMSYSTEMCurrentControlSetServiceslanmanworkstationparameters
AutoShareWks = 0
AutoShareServer = 0
HKLMSOFTWAREMicrosoftOle
EnableDCOM = N
HKLMSYSTEMCurrentControlSetControlLsa
restrictanonymous = 1
HKLMSYSTEMControlSet001ServicesMessenger
Start = 4
HKLMSYSTEMControlSet001ServicesRemoteRegistry
Start = 4
HKLMSYSTEMControlSet001ServicesTlntSvr
Start = 4
HKLMSYSTEMCurrentControlSetControlLsa
restrictanonymous = 1
HKLMSYSTEMCurrentControlSetServicesMessenger
Start = 4
HKLMSYSTEMCurrentControlSetServicesRemoteRegistry
Start = 4
HKLMSYSTEMCurrentControlSetServicesTlntSvr
Start = 4
---------------------------------------------------------------------------------------------------------------------------------------
Troj/Sory-A
Troj/Sory-A ist ein Kennwort stehlender Trojaner.
Wenn er erstmals ausgeführt wird, erstellt der Trojaner eine Kopie von sich namens Services.exe sowie einen Ordner namens Temp im Windows-Systemordner. Die folgenden Daten werden in zufällig benannten Dateien in diesem Ordner gespeichert:
* Angaben zum Prozessor und Speicher des Computers
* Betriebssystemversion und registrierter Besitzer
* POP3- und SMTP-Einstellungen
* gespeicherte Tastenfolgen
----------------------------------------------------------------
Troj/BankHook-A
Troj/BankHook-A ist ein Internet-Banking-Trojaner, der versucht, vertrauliche Bankdaten aufzuspüren und diese an einen remoten Ort zu senden.
Troj/BankHook-A installiert eine COM DLL, mit der (über ein weiteres ausführbares Modul) der Inhalt von HTTP-GET- und HTTP-POST-Nachrichten aufgespürt und gespeichert werden kann, die an HOST-URLs mit folgenden Zeichenfolgen gesendet werden:
commbank.com.au
.citibank.com
.stgeorge.com.au
.bendigobank.com.au
.anz.com
national.com.au
westpac.com.au
.hsbc.com.au
barclays.co.uk
lloydstsb.co.uk
citibank.com.au
.online-banking.standardchartered.com.hk
Please,
Anmelden
or
Registrieren
to view URLs content!
Please,
Anmelden
or
Registrieren
to view URLs content!
Please,
Anmelden
or
Registrieren
to view URLs content!
.hsbc.com.hk
.deutsche-bank.de
.citibank.de
.sparkasse-banking.de
banking.lbbw.de
dit-online.de
.dab-bank.com
www1.bmo.com
Please,
Anmelden
or
Registrieren
to view URLs content!
cibconline.cibc.com
www1.royalbank.com
easyweb.tdcanadatrust.com
suncorpmetway.com.au
cd.citibank.co.ae
ebank.uae.hsbc.com
banknetpower.net
nbd.ae
online-banking.standardchartered.ae
standardchartered.com
Please,
Anmelden
or
Registrieren
to view URLs content!
Please,
Anmelden
or
Registrieren
to view URLs content!
banking.mashreqbank.com
Please,
Anmelden
or
Registrieren
to view URLs content!
online.nbad.com
pbg1.edc.citiaccess.com
Please,
Anmelden
or
Registrieren
to view URLs content!
ekocbank.kocbank.com.tr
internetsube.akbank.com.tr
hercules.pamukbank.com.tr
Please,
Anmelden
or
Registrieren
to view URLs content!
Please,
Anmelden
or
Registrieren
to view URLs content!
Please,
Anmelden
or
Registrieren
to view URLs content!
Please,
Anmelden
or
Registrieren
to view URLs content!
.e-gold.com.
Die gespeicherten Daten werden via HTTP POST an einen remoten Speicherort gesendet.
-------------------------------------------------------------------------
W32/Forbot-D
W32/Forbot-D ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er enthält außerdem Backdoortrojaner-Funktionalität, wodurch unbefugter Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht wird, während der Wurm als Dienstprozess im Hintergrund aktiv ist.
W32/Forbot-D kopiert sich als SMSC.EXE in den Windows-Systemordner und erstellt Einträge in der Registrierung an folgenden Stellen, so dass er beim Systemstart aktiviert wird:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWin32 USB2 Driver
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceWin32 USB2 Driver
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesWin32 USB2 Driver
HKCUSoftwareMicrosoftWindowsCurrentVersionRunWin32 USB2 Driver
HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnceWin32 USB2 Driver
W32/Forbot-D erstellt außerdem seinen eigenen Dienst namens "Microsoft Config", für den der Name "Win32 USB2 Driver" angezeigt wird.
W32/Forbot-D versucht, verschiedene Prozesse zu beenden, die mit Sicherheits- und Antiviren-Programmen im Zusammenhang stehen.
W32/Forbot-D versucht, sich auf Netzwerk-Computer zu verbreiten, indem er verschiedene Schwachstellen, darunter die LSASS-Schwachstelle (siehe MICROSOFT 04-011), ausnutzt.
-------------------------------------------------------------------------
