Backdoor.SDBot.Gen - Virensignatur

Symptome :

Technische Beschreibung:

Alle drei Irc Bots:
Backdoor.SDBot
Backdoor.Agobot.3
Win32.P2P.Spybot
basieren auf derselben bösartigen Quelle.
Sobald der Bot auf dem Computer des Opfers läuft macht er Folgendes:
- er versucht, verschiedene Antivirus/Sicherheits Applikationen zu beenden
- schafft und versteckt seine Kopie (gewöhnlich im Windows Ordner, und in P2P Share Ordnern)
- schafft einen Registry Key, der den Bot bei jedem Windows Start laufen lässt.
- verbindet sich mit einem vorgegebenen Irc Server und wählt einen bestimmten Kanal. Dort wartet er auf Befehle des Angreifers.
Indem der Angreifer diese Bots benutzt, kann er Folgendes tun:
Benutzung des Computers des Opfers, um:
- viele infizierte Computer zu nutzen, um einen Ddos Angriff auf eine spezielle IP Adresse/Website auszuführen.
- verschiedene Methoden, um eine anvisierte IP Addresse zu fluten
- andere Computer oder Webseiten anzugreifen unter Ausnutzung spezieller Schwachstellen (RPC/DCOM, RPC/Locator, WebDAV, etc)
- suchen nach anderen schwachen Hosts und Versuch, sich dort zu installieren
Auf dem Computer des Opfers:
- verändert die internen bot Parameter, update des Bot mit einer neueren Version, etc
- nutzt den Host als TCP proxy
- lenkt HTTP Traffic um
- stielt CD Keys von verschiedenen Applikationen/Spielen
- stielt persönliche Infos, Passwörteretc.
- verändert, zeigt verschiedene Infos an
- lädt Dateien hocfh und runter
- vernichtet/modifiziert Dateien
- beendet Programme
- Beendet Prozesse
- rebootet, schaltet den Computer aus
und vieles Andere, je nachdem, was in der Original Source angegeben ist.

Entfernung:

[ Zurück zum Anfang ]