 |
Technische Beschreibung:
|
Dieser IRC-Backdoor hat sich über viele E-mailaddressen
mit folgendem Inhalt verschickt:
Antwortmail von:
"The Company Of BitDefender"
Betreff: BitDefender Company
Datum: Tue, 18 Jan 2005 05:30:14 -0800
Hello,
We send you the best antivirus BitDefender ... please copy the software
and have more security
on your computer;
Please copy this product from http://www.playboyromania.go.ro/ and send
us an email at
support@bitdefender.com and we can give you your cdkey product to register
it!
Download Link1 : http://www.playboyromania.go.ro/Film.exe
Download Link2 : http://www.playboyromania.go.ro/Poze.exe
Greetings Tnx to : John Myle , Goordon Freeman & Bitman Forgivn
Film.exe ist ein WinRAR selbst extrahierendes Verzeichnis.
Wenn dieses gestartet ist versucht er einen mIRC (ein populärer IRC
Server) zu kontaktieren.
Das mIRC-Script sowie zwei DLL's (eines für encryption/decryption
sowie eines für Process/Window)
verstecken sich in
C:\WINDOWS\inf\digital,taskmgr.exe (mIRC) - zumindest dort versteckt sich
der Backdoor.
Das Script versucht mIRC -Undernet zu kontaktieren mit wechselnden Nick-Namen
aus einer Liste der nick.db
in Verbindung mit einem "hart" reingecodeten Namen einer Webseite.
In 2 mIRC-Channels akzeptiert der Backdoor Komandos von dort autorisierten
Usern.
Diese Komandos beinhalten:
- setzt voice/op/ban Rechte und Funktionen für andere User auf den
spezifischen Channels
- sendet Nachrichten an andere User
- sogar ein "Hilfen" Befehl, der über die geltenden Komandos
berichtet.
Viele der Nic-Namen in dieser Liste sind rumänisch. Die meissten
User dieses speziellen Channels sprechen dort auch in rumänisch.
Der Ursprung dieses Backdoors liegt also nahe...
[ Zurück zum Anfang ]
|
