Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Neuer IRC-Bot verbreitet Spam durch Instant-Messaging-Dienste

Hanau, 24. Mai 2012

Der Sicherheitsspezialist Doctor Web warnt vor der Verbreitung einer neuen Variante des IRC-Bots, der in der Virendefinitionsdatei von Dr.Web den Namen BackDoor.IRC.IMBot.2 trägt. Wie andere Vertreter dieser BackDoor-Familie verschickt der Schädling durch IM-Dienste Spam-Mails, lädt herunter und startet ausführbare Dateien. Darüber hinaus kann er auf Befehl eines Verwaltungsservers DDoS-Angriffe durchführen.

Es gibt eine Menge von Trojanern, die das IRC-Protokoll (Internet Relay Chat) ausnutzen. Und neue Versionen des IRC-Bots tauchen immer häufiger auf. BackDoor.IRC.IMBot.2 könnte man als einen typischen Vertreter dieser BackDoor-Familie einstufen, wenn er eine interessante Funktion nicht hätte.

BackDoor.IRC.IMBot.2 verbreitet sich wie andere IRC-Bots. Der Trojaner speichert sich auf Wechseldatenträgern unter dem Namen usb_driver.com und erstellt im Hauptverzeichnis eine autorun.inf-Datei, durch die der Trojaner beim Anschließen des Wechseldatenträgers gestartet wird (wenn diese Funktion in den Einstellungen des Betriebssystems aktiviert ist).

Nachdem BackDoor.IRC.IMBot.2 sich gestartet hat, speichert er sich im Installationsverzeichnis von Windows und ändert das Systemregister, das für das automatische Starten von Anwendungen verantwortlich ist. BackDoor.IRC.IMBot.2 ändert auch die Einstellungen der Windows-Firewall, um eine Internetverbindung aufzubauen.

Der Trojaner ist darüber hinaus mit einer Funktion für die Suche nach Prozessen wie dumpcap, SandboxStarter, tcpview, procmon, filemon ausgerüstet. Er greift auf HKEY_PERFORMANCE_DATA (Bereich des Systemregisters) zu, der für die Systemleistung verantwortlich ist, und sucht nach gestarteten Prozessen. Diese Funktion wurde früher von Cyber-Kriminellen nicht verwendet.

BackDoor.IRC.IMBot.2 kann ausführbare Dateien herunterladen und diese auf dem infizierten Computer starten, Spam-Mails in IM-Diensten wie MSN Messenger, AOL Instant Messenger, Yahoo! Messenger verbreiten und auf Befehl eines Verwaltungsservers DDoS-Angriffe durchführen. Die Virendatenbanken von Dr.Web verfügen bereits über die entsprechende Signatur. Dr.Web Anwender müssen keine Angst vor dem Trojaner haben.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2019

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Quettigstr. 12, 76530 Baden-Baden