Backdoor.IRC.Sticy.A - Virensignatur

Symptome :

Auf Windows NT/2000/XP:
Der Task Manager zeigt 2 Prozesse mit Namen: "taskmgr.exe" wovon einer der echte Task Manager ist und der Andere eine versteckte Anwendung des mIRC ist.

Technische Beschreibung:

Dieser IRC-Backdoor hat sich über viele E-mailaddressen mit folgendem Inhalt verschickt:

Antwortmail von:
"The Company Of BitDefender"
Betreff: BitDefender Company
Datum: Tue, 18 Jan 2005 05:30:14 -0800

Hello,
We send you the best antivirus BitDefender ... please copy the software and have more security
on your computer;
Please copy this product from http://www.playboyromania.go.ro/ and send us an email at
support@bitdefender.com and we can give you your cdkey product to register it!

Download Link1 : http://www.playboyromania.go.ro/Film.exe
Download Link2 : http://www.playboyromania.go.ro/Poze.exe

Greetings Tnx to : John Myle , Goordon Freeman & Bitman Forgivn

Film.exe ist ein WinRAR selbst extrahierendes Verzeichnis.
Wenn dieses gestartet ist versucht er einen mIRC (ein populärer IRC Server) zu kontaktieren.
Das mIRC-Script sowie zwei DLL's (eines für encryption/decryption sowie eines für Process/Window)
verstecken sich in
C:\WINDOWS\inf\digital,taskmgr.exe (mIRC) - zumindest dort versteckt sich der Backdoor.

Das Script versucht mIRC -Undernet zu kontaktieren mit wechselnden Nick-Namen aus einer Liste der nick.db
in Verbindung mit einem "hart" reingecodeten Namen einer Webseite.
In 2 mIRC-Channels akzeptiert der Backdoor Komandos von dort autorisierten Usern.
Diese Komandos beinhalten:

- setzt voice/op/ban Rechte und Funktionen für andere User auf den spezifischen Channels
- sendet Nachrichten an andere User
- sogar ein "Hilfen" Befehl, der über die geltenden Komandos berichtet.

Viele der Nic-Namen in dieser Liste sind rumänisch. Die meissten User dieses speziellen Channels sprechen dort auch in rumänisch. Der Ursprung dieses Backdoors liegt also nahe...

Entfernung:

[ Zurück zum Anfang ]