Neuer IRC-Bot verbreitet Spam durch Instant-Messaging-Dienste
Hanau, 24. Mai 2012
Es gibt eine Menge von Trojanern, die das IRC-Protokoll (Internet Relay Chat) ausnutzen. Und neue Versionen des IRC-Bots tauchen immer häufiger auf. BackDoor.IRC.IMBot.2 könnte man als einen typischen Vertreter dieser BackDoor-Familie einstufen, wenn er eine interessante Funktion nicht hätte.
BackDoor.IRC.IMBot.2 verbreitet sich wie andere IRC-Bots. Der Trojaner speichert sich auf Wechseldatenträgern unter dem Namen usb_driver.com und erstellt im Hauptverzeichnis eine autorun.inf-Datei, durch die der Trojaner beim Anschließen des Wechseldatenträgers gestartet wird (wenn diese Funktion in den Einstellungen des Betriebssystems aktiviert ist).
Nachdem BackDoor.IRC.IMBot.2 sich gestartet hat, speichert er sich im Installationsverzeichnis von Windows und ändert das Systemregister, das für das automatische Starten von Anwendungen verantwortlich ist. BackDoor.IRC.IMBot.2 ändert auch die Einstellungen der Windows-Firewall, um eine Internetverbindung aufzubauen.
Der Trojaner ist darüber hinaus mit einer Funktion für die Suche nach Prozessen wie dumpcap, SandboxStarter, tcpview, procmon, filemon ausgerüstet. Er greift auf HKEY_PERFORMANCE_DATA (Bereich des Systemregisters) zu, der für die Systemleistung verantwortlich ist, und sucht nach gestarteten Prozessen. Diese Funktion wurde früher von Cyber-Kriminellen nicht verwendet.
BackDoor.IRC.IMBot.2 kann ausführbare Dateien herunterladen und diese auf dem infizierten Computer starten, Spam-Mails in IM-Diensten wie MSN Messenger, AOL Instant Messenger, Yahoo! Messenger verbreiten und auf Befehl eines Verwaltungsservers DDoS-Angriffe durchführen. Die Virendatenbanken von Dr.Web verfügen bereits über die entsprechende Signatur. Dr.Web Anwender müssen keine Angst vor dem Trojaner haben.
![[Twitter]](social/twitter.png)
![[Facebook]](social/facebook.png)
![[Google+]](social/google_plus.png)
![[Xing]](social/xing.png)
