| Bezeichnung |
Name |
Typ |
| Sysbug.A |
Trojan.Sysbug.A |
Backdoor |
| Schaden |
Entdeckt |
Ermittelt |
| Mittel |
25.11.2003 |
25.11.2003 |
| Größe |
Verbreitung |
Noch unterwegs |
| 11808 (25 KB ungepackt) |
Gering |
Ja |
| Andere Namen |
| |
|
|
 |
Symptome :
|
- die Datei sysdeb32.exe im Windows Ordner;
- der Registry Key
HKLMSoftwareMicrosoftWindowsCurrentVersionRunSystemDebug weist auf die Datei;
- Datei temp35.txt in C: und Datei svc.sav im Windows Ordner.
|
Technische Beschreibung:
|
Diese Backdoor sendet Infos mit einer Remote Site und erlaubt der Seite, eine Datei runterzuladen und auszuführen, ebenso erlaubt sie, Verbindungen zum Port 5555. Sie vermehrt sich nicht selbst (ist kein Virus).
Bei Ausführung kopiert sie sich als sysdeb32.exe im Windows Ordner und schafft die Registry Entry
HKLMSoftwareMicrosoftWindowsCurrentVersionRunSystemDebug, so dass die Backdoor bei jedem Neustart laufen kann.
Es ruft die RegisterServiceProcess Funktion auf, um nicht in der Taskliste bei Windows 9x Systemen zu erscheinen.
Sie sammelt Infos über die Dial-up Connections, Email Accounts, Windows Version, User etc. in c:temp35.txt.
Wenn eine Verbindung zum Internet besteht, kommuniziert die Backdoor mit finance.red-host.com, um :
- eine Datei von .red-host.com/events.php downzuloaden und auszuführen;
- die Infos in c:temp35.txt an finance.red-host.com/showinfo.php zu schicken.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Trojan.Sysbug.A Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
