THEMEN

AntiVirus

Backdoor.WinCE.Brador.A - Virensignatur


A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z
Bezeichnung Name Typ
 Brador.A  Backdoor.WinCE.Brador.A  
Schaden Entdeckt Ermittelt
 Niedrig  06.08.2004  06.08.2004
Größe Verbreitung Noch unterwegs
 5632 bytes, geschrieben in ARM assembly  Gering  Nein
Andere Namen
 Brador
anderen Virus suchen:

Viren-Entfernung Anleitung
Viren-Removaltools
Frage im Forum stellen

RSS     

Symptome :
Präsent der Datei svchost.exe im WinCE Startup Ordner (Windows\Startup)
Technische Beschreibung:
Obwohl dies die erste Backdoor ist, die die WinCE Plattform angreift, enthält sie fortgeschrittene Merkmale wie das Auflisten von Ordnerinhalten, Rauf- und Runterladen von Dateien, ferngesteuerte Ausführung von Dateien etc.

Beim Betrieb kopiert sich der Wurm selbst in den WinCE Startup Ordner als svchost.exe; auf diese Weise erhält er Zugang zu jedem System Boot; dann versucht die Backdoor den Windows Socket interface zu initialisieren (die niedrigste Version, die sie akzeptiert, ist 1.1) und, falls erfolgreich, erschafft er einen Socket und verbindet ihn mit
Port 2989 ("BAD" in ASCII).

Dann versucht er sich mit Port 25 (SMTP) des Servers 194.67.23.111 (der ein bekannter russischer Mailserver ist) zu verbinden und sendet Informationen an den Autor, indem er die Adresse brokensword@ukr.net. benutzt

Für die Mail Verschickungsroutine benutzt diese Backdoor ihre eigene Ausführung eines einfachen SMTP Client ohne Fehlermeldungsfunktion.

> Backdoor Funktionen:

Der Wurm akzeptiert Verbindungen, die über Port 2989 reinkommen. Die Kommunikation ist sehr einfach: der Angreifer sendet ein aus einem Zeichen bestehenden Befehl, die Backdoor versucht, dieses Zeichen in einem String zu finden und benutzt den Index, um zu einer Funktion zu springen (von einer Funktions-Tabelle).

Befehle:

"d" : Zählt Dateien auf und sendet deren Namen und Größe an den Autor
"g" : Sendet eine Datei an den Angreifer, 1024-byte Stücken
"r" : Führt einen Prozeß (oder Befehl) aus auf dem infizierten Computer
"p" : Lädt eine Datei des Angreifers runter, in 1024-byte Stücken
"m" : Zeigt eine Nachrichten Box an
"f" : Schließt den Kommunikationsport.

Entfernung:
In unserer Bereich der free Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Backdoor.WinCE.Brador.A Removal Tool suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen

[ Zurück zum Anfang ]

>> AntiVirus Lexikon
antivirus_lexikon_logo
8x8
  aktuelle Viren Meldungen
8x8
  weitere Dienste
An dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung an, wie z.B:
Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC.
Removal Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der Viren-Removaltools.