FÜR NUTZER

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Suche
Suche

Support
Support 24/7 | Regeln zur Anfragenübermittlung

Schreiben Sie uns

Online-Formular

Telefon

+49 (0) 170 488 40 28

Forum

Ihre Anfragen

Neue Anfrage

Rufen Sie uns an

+7 (495) 789-45-86

Profil

DE

RU CN DE EN ES FR IT JP KZ UZ PL BY
Schließen
News

News nach thema

News über Viren & Co.
Die Wahrheit über Viren & Co.
Newsticker
Presse

Zurück zu News

Neuer IRC-Bot verbreitet Spam durch Instant-Messaging-Dienste

Hanau, 24. Mai 2012

Der Sicherheitsspezialist Doctor Web warnt vor der Verbreitung einer neuen Variante des IRC-Bots, der in der Virendefinitionsdatei von Dr.Web den Namen BackDoor.IRC.IMBot.2 trägt. Wie andere Vertreter dieser BackDoor-Familie verschickt der Schädling durch IM-Dienste Spam-Mails, lädt herunter und startet ausführbare Dateien. Darüber hinaus kann er auf Befehl eines Verwaltungsservers DDoS-Angriffe durchführen.

Es gibt eine Menge von Trojanern, die das IRC-Protokoll (Internet Relay Chat) ausnutzen. Und neue Versionen des IRC-Bots tauchen immer häufiger auf. BackDoor.IRC.IMBot.2 könnte man als einen typischen Vertreter dieser BackDoor-Familie einstufen, wenn er eine interessante Funktion nicht hätte.

BackDoor.IRC.IMBot.2 verbreitet sich wie andere IRC-Bots. Der Trojaner speichert sich auf Wechseldatenträgern unter dem Namen usb_driver.com und erstellt im Hauptverzeichnis eine autorun.inf-Datei, durch die der Trojaner beim Anschließen des Wechseldatenträgers gestartet wird (wenn diese Funktion in den Einstellungen des Betriebssystems aktiviert ist).

Nachdem BackDoor.IRC.IMBot.2 sich gestartet hat, speichert er sich im Installationsverzeichnis von Windows und ändert das Systemregister, das für das automatische Starten von Anwendungen verantwortlich ist. BackDoor.IRC.IMBot.2 ändert auch die Einstellungen der Windows-Firewall, um eine Internetverbindung aufzubauen.

Der Trojaner ist darüber hinaus mit einer Funktion für die Suche nach Prozessen wie dumpcap, SandboxStarter, tcpview, procmon, filemon ausgerüstet. Er greift auf HKEY_PERFORMANCE_DATA (Bereich des Systemregisters) zu, der für die Systemleistung verantwortlich ist, und sucht nach gestarteten Prozessen. Diese Funktion wurde früher von Cyber-Kriminellen nicht verwendet.

BackDoor.IRC.IMBot.2 kann ausführbare Dateien herunterladen und diese auf dem infizierten Computer starten, Spam-Mails in IM-Diensten wie MSN Messenger, AOL Instant Messenger, Yahoo! Messenger verbreiten und auf Befehl eines Verwaltungsservers DDoS-Angriffe durchführen. Die Virendatenbanken von Dr.Web verfügen bereits über die entsprechende Signatur. Dr.Web Anwender müssen keine Angst vor dem Trojaner haben.

Ihre Meinung ist uns wichtig!

Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare