WORM_IRCBOT.ABB

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Öffnet zufällig ausgewählte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung führt der externe Benutzer Befehle auf dem betroffenen System aus. Führt bestimmte Befehle aus, die sie extern von einem böswilligen Benutzer erhält. Dadurch sind der betroffene Computer und auf ihm gespeicherte Daten stärker gefährdet.

Übertragungsdetails

Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Windows%\cfdrive32.exe

(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• jnd282ddrn2fcs
• a2rnn2cnddc2dcs

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
Microsoft Driver Setup = %Windows%\cfdrive32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Microsoft Driver Setup = %Windows%\cfdrive32.exe

Andere Systemänderungen

Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{Malware Path and File Name} = "{Malware Path and File Name}:*:%Windows%\cfdrive32.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0

Verbreitung

Versendet Eigenkopien an Zielempfänger über die folgenden Instant-Messaging-Anwendungen:

• MSN

Backdoor-Routine

Verbindet sich mit einem oder mehreren der folgenden IRC-Server:

• ms4all.twoplayers.net

Öffnet zufällig ausgewählte Ports, damit sich ein externer Benutzer mit dem betroffenen System verbinden kann. Nach dem Herstellen der Verbindung führt der externe Benutzer Befehle auf dem betroffenen System aus.

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

• r.getfile
• r.new
• r.update
• r.upd4te
• login
• threads
• logout
• rmzerm3b1tch
• download
• update
• advscan

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• VIPRE.EXE
• ISSDM_EN_32.EXE
• P08PROMO.EXE
• K7TS_SETUP.EXE
• AVINSTALL.EXE
• WITSETUP.EXE
• TrendMicro_TISPro_16.1_1063_x32.EXE
• VBA32-PERSONAL-LATEST-ENGLISH.EXE
• CCSETUP210.EXE
• FSMB32.EXE
• FSGK32.EXE
• FSAV95.EXE
• FSAV530WTBYB.EXE
• FSAV530STBYB.EXE
• FSAV32.EXE
• FSAV.EXE
• FSAA.EXE
• FPROT.EXE
• FP-WIN.EXE
• FNRB32.EXE
• FIH32.EXE
• FCH32.EXE
• FAST.EXE
• FAMEH32.EXE
• F-STOPW.EXE
• F-PROT95.EXE
• F-PROT.EXE
• AFMAIN.EXE
• SPIDERUI.EXE
• SPIDERNT.EXE
• ALERTMAN.EXE
• RAVMOND.EXE
• MAKEREPORT.EXE
• BOXMOD.EXE
• 360SAFE.EXE
• 360RPT.EXE
• 360HOTFIX.EXE
• 360TRAY.EXE
• NSVMON.NPC
• NSAVSVC.NPC
• NPCGREENAGENT.NPC
• PUSCAN.EXE
• AYSERVICENT.AYE
• AYAGENT.AYE
• CMDAGENT.EXE
• CPF.EXE
• VSMON.EXE
• ZLCLIENT.EXE
• NSUTILITY.EXE
• NSPUPDT.EXE
• NAVQSCAN.EXE
• NSPMAIN.EXE
• NSPUPSVC.EXE
• NSPSVC.EXE
• MKSADMINCONSOLE.EXE
• MKSUPDATE.EXE
• MKSPC.EXE
• MKSFWALL.EXE
• MKSVIRMONSVC.EXE
• MKS_SCAN.EXE
• MKS_MAIL.EXE
• MKSREGMON.EXE
• KAVPFW.EXE
• KASMAIN.EXE
• KAV32.EXE
• KPFWSVC.EXE
• KISSVC.EXE
• KWATCH.EXE
• KPFW32.EXE
• KAVSTART.EXE
• KVSRVXP.EXE
• KVOL.EXE
• KVXP.KXP
• KVMONXP.KXP
• CAVASM.EXE
• CMAIN.EXE
• ARCABIT.CORE.LOGGINGSERVICE.EXE
• ARCABIT.CORE.CONFIGURATOR2.EXE
• TASKSCHEDULER.EXE
• UPDATE.EXE
• NETMONSV.EXE
• FILEMONSV.EXE
• ABREGMON.EXE.EXE
• ARCACHECK.EXE
• ARCAVIR.EXE
• AVMENU.EXE
• A2HIJACKFREE.EXE
• A2SERVICE.EXE
• A2START.EXE
• A2SCAN.EXE
• A2GUARD.EXE
• VRFWSVC.EXE
• HFACSVC.EXE
• VRMONSVC.EXE
• HPCSVC.EXE
• HSVCMOD.EXE
• VRMONNT.EXE
• MKSTRAY.EXE
• VBA32ADS.EXE
• VBA32LDR.EXE
• FILELOCKSETUP.EXE
• TSCFCOMMANDER.EXE
• TMPROXY.EXE
• TMPFW.EXE
• TMBMSRV.EXE
• UFNAVI.EXE
• UFSEAGNT.EXE
• TISSPWIZ.EXE
• SFCTLCOM.EXE
• TNBUTIL.EXE
• DEFWATCH.EXE
• RTVSCAN.EXE
• SBAMSVC.EXE
• SBAMUI.EXE
• SBAMTRAY.EXE
• SAVADMINSERVICE.EXE
• SAVSERVICE.EXE
• SCFSERVICE.EXE
• SCFMANAGER.EXE
• RAVTASK.EXE
• CCENTER.EXE
• ULIBCFG.EXE
• RAVLITE.EXE
• PCTAV.EXEPCTAVSVC.EXEPXCONSOLE.EXEPXAGENT.EXERAV.EXE
• PCTSAUXS.EXE
• PCTSTRAY.EXE
• PCTSSVC.EXE
• PCTSGUI.EXE
• AVGAS.EXE
• PAVBCKPT.EXE
• WEBPROXY.EXE
• PAVSRV51.EXESRVLOAD.EXE
• PSIMSVC.EXE
• PSHOST.EXE
• AVENGINE.EXE
• PSKMSSVC.EXE
• PAVPRSRV.EXE
• PAVFNSVR.EXE
• PSCTRLS.EXE
• TPSRV.EXE
• NOD32M2.EXE
• NOD32CC.EXE
• NOD32.EXE
• NMAIN.EXE
• NOD32KUI.EXE
• MSASCUI.EXE
• MSMPENG.EXE
• MCUPDATE.EXE
• MCSHIELD.EXE
• MCVSSHLD.EXE
• MCVSRTE.EXE
• MCAGENT.EXE
• KAVSVC.EXE
• KAV.EXE
• K7TSMNGR.EXE
• K7SPMSRC.EXE
• K7RTSCAN.EXE
• K7PSSRVC.EXE
• K7FWSRVC.EXE
• K7EMLPXY.EXE
• K7TSECURITY.EXE
• K7SYSTRY.EXE
• VIRUSUTILITIES.EXE
• GUARDXSERVICE.EXE
• GUARDXKICKOFF.EXE
• AVKWCTL.EXE
• AVKTUNERSERVICE.EXE
• AVKSERVICE.EXE
• GDFWSVC.EXE
• AVKPROXY.EXE
• GDFIRE~1.EXE
• AVKTRAY.EXE
• GDFIREWALLTRAY.EXE
• FSAUA.EXE
• NOD32KRN.EXE
• FSMA32.EXE
• FSDFWD.EXE
• FSGK32ST.EXE
• FSM32.EXE
• FPWIN.EXE
• FPAVSERVER.EXE
• FPROTTRAY.EXE
• INICIO.EXE
• UMXPOL.EXE
• UMXFWHLP.EXE
• UMXAGENT.EXE
• UMXCFG.EXE
• PPCLTPRIV.EXE
• SVCPRS32.EXE
• ITMRTSVC.EXE
• CCPROVSP.EXE
• MDMCLS32.EXE
• CAGLOBALLIGHT.EXE
• CAPFUPGRADE.EXE
• CAPFASEM.EXE
• CAFW.EXE
• CFGMNG32.EXE
• CCTRAY.EXE
• CLAMTRAY.EXE
• CLAMWIN.EXE
• ALSVC.EXE
• ALMON.EXE
• DRWEBSCD.EXE
• SPIDERML.EXE
• DRWEB32W.EXE
• ACS.EXE
• STRTSVC.EXE
• OP_MON.EXE
• SENSOR.EXE
• QHFW332.EXE
• CATEYE.EXE
• ONLNSVC.EXE
• EMLPROUI.EXE
• UPSCHD.EXE
• SCANMSG.EXE
• SCANWSCS.EXE
• EMLPROXY.EXE
• ONLINENT.EXE
• ASWCLNR.EXE
• BDAGENT.EXE
• VSSERV.EXE
• LIVESRV.EXE
• XCOMMSVR.EXE
• UISCAN.EXE
• BDSS.EXE
• AVGUI.EXE
• AVGUPD.EXE
• AVGSCANX.EXE
• AVGEMC.EXE
• AVGUPSVC.EXE
• AVGAMSVR.EXE
• AVGWDSVC.EXE
• ASHWEBSV.EXE
• ASHMAISV.EXE
• ASWUPDSV.EXE
• ASHSERV.EXE
• ASHDISP.EXE
• AVCENTER.EXE
• SCHED.EXE
• AVIRARKD.EXE
• AVGNT.EXE
• AVGUARD.EXE
• AHNSDSV.EXE
• ACAIS.EXE
• ACALS.EXE
• ACAEGMGR.EXE
• ACAAS.EXE
• QOELOADER.EXE
• APVXDWIN.EXE
• QUHLPSVC.EXE
• 123.EXE
• RAVP.EXEMBAM.EXE123.COM
• UNLOCKER1.8.7.EXE
• UNIEXTRACT.EXE
• SYSANALYZER_SETUP.EXE
• STARTDRECK.EXE
• SPF.EXE
• REGX2.EXE
• REGSHOT.EXE
• REGSCANNER.EXE
• REGISTRAR_LITE.EXE
• REGCOOL.EXE
• REGALYZ.EXE
• PROJECTWHOISINSTALLER.EXE
• PROCMON.EXE
• CUREIT.EXE
• FIXBAGLE.EXE
• PGSETUP.EXE
• OBJMONSETUP.EXE
• NETALYZ.EXE
• KILLBOX.EXE
• INSTALLWATCHPRO25.EXE
• AVENGER.EXE
• IEFIX.EXE
• HOSTSFILEREADER.EXE
• FIXPATH.EXE
• FILEFIND.EXE
• FILEALYZ.EXE
• EULALYZERSETUP.EXE
• A2HIJACKFREESETUP.EXE
• DLLCOMPARE.EXE
• CPROCESS.EXE
• CPORTS.EXE
• ASVIEWER.EXE
• APT.EXE
• APM.EXE
• WIRESHARK.EXE
• SPYBOTSD.EXE
• TEATIMER.EXE
• SPYBOTSD160.EXE
• PROCESSMONITOR.EXE
• PROCDUMP.EXE
• PG2.EXE
• LORDPE.EXE
• ICESWORD.EXE
• REANIMATOR.EXE
• ROOTKITNO.EXE
• RKD.EXE
• HACKMON.EXE
• UNHACKME.EXE
• ROOTKIT_DETECTIVE.EXE
• AVGARKT.EXE
• FSB.EXE
• FSBL.EXE
• ROOTKITREVEALER.EXE
• PSKILL.EXE
• TASKMON.EXE
• TASKLIST.EXE
• TASKMAN.EXE
• PROCEXP.EXE
• MSNFIX.EXE
• HIJACKTHIS_V2.EXE
• HIJACKTHIS.EXE
• HIJACKTHIS_SFX.EXE
• HJTSETUP.EXE
• HJTINSTALL.EXE
• OLLYDBG.EXE
• NETSTAT.EXE
• PORTMONITOR.EXE
• PORTDETECTIVE.EXE
• FPORT.EXE
• APORTS.EXE
• PAVARK.EXE
• DARKSPY105.EXE
• HELIOS.EXE
• ROOTKITBUSTER.EXE
• ROOTALYZER.EXE
• BC5CA6A.EXE
• SEEM.EXE
• DELAYDELFILE.EXE
• DUBATOOL_AV_KILLER.EXE
• SUPERKILLER.EXE
• KAKASETUPV6.EXE
• BUSCAREG.EXE
• MSNCLEANER.EXE
• SRESTORE.EXE
• BOOTSAFE.EXE
• SUPERANTISPYWARE.EXE
• CCLEANER.EXE
• REGUNLOCKER.EXETSNTEVAL.EXEXP_TASKMGRENAB.EXE
• CF9409.EXE
• GMER.EXE
• CATCHME.EXE
• SDFIX.EXE
• COMBOFIX.EXE
• SRENGPS.EXE
• AUTORUNS.EXE
• TASKKILL.EXE
• REGEDIT.EXE
• REG.EXE
• MYPHOTOKILLER.EXE
• KILLAUTOPLUS.EXE
• FOLDERCURE.EXE
• REGEDIT.SCR
• REGEDIT.COM
• MMC.EXE
• TCPVIEW.EXE
• LISTO.EXE
• GUARD.EXE
• NTVDM.EXE
• COMMAND.COM
• COMBOFIX.COM
• COMBOFIX.SCR
• COMBOFIX.BAT
• REGMON.EXE
• OTMOVEIT.EXEMBAM-SETUP.EXE
• JAJA.EXE
• AVZ.EXE
• MBAM.EXE
• MBAM-SETUP.EXE
• PENCLEAN.EXE
• ELISTA.EXE
• HJ.EXE
• WINDOWS-KB890930-V2.2.EXE
• MRTSTUB.EXE
• MRT.EXE
• HIJACK-THIS.EXE
• VIRUS.EXE
• SAFEBOOTKEYREPAIR.EXEOTMOVEIT3.EXEHOSTSXPERT.EXEDAFT.EXE
• ATF-CLEANER.EXE
• COMPAQ_PROPIETARIO.EXE
• SRENGLDR.EXE
• HOOKANLZ.EXE