Rbot.7 | ESET NOD32 Antivirus

Erstellt am: 2007-11-06, 17:15:12

Modifiziert am: 2007-11-06, 17:15:12

Plattform: Win32

Typ: Trojaner

Größe: 80901

Datum: 2005-05-25

Komprimierung: PE_Patch.Stolen, UPack

Sprache: Microsoft Visual C++

Gefährdete Betriebssystem(e): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP

Ungefährdete Betriebssystem(e): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.

Die Bezeichnungen des Schadprogramms Win32/Rbot.7 Trojaner heißen laut einzelner Virenschutzprogramme:

Antivirus	Bezeichnung
Avast	Win32:Rbot-BML
AVG	IRC/BackDoor.SdBot.188.BS
BitDefender	Backdoor.Rbot.ADE
e-Trust	Win32/Rbot.COU
F-PROT	W32/Sdbot.IQN
F-Secure	Backdoor.Win32.Rbot.ayc
Ikarus	Backdoor.Win32.Rbot
Kaspersky	Backdoor.Win32.Rbot.ayc
McAfee	W32/Sdbot.worm.gen.l(Virus)

Antivirus	Bezeichnung
Microsoft	Win32/Rbot
NOD32 (ESET)	Win32/Rbot
Norton Antivirus	W32.Spybot.Worm
Panda	W32/Sdbot.DPC.worm
Rising Antivirus	Backdoor.Rbot.jix
Sophos	W32/Rbot-ADE
Trend Micro	WORM_RBOT.BNZ
VirusBuster	Worm.RBot.BGU

Organisation	Bezeichnung
Wildlist	W32/Rbot!ITW#1746

Installation

Die sich über das Internet oder lokale Netz verbreitenden Würmer bezwecken es vorrangig, einen anderen Rechner zu infizieren. Sie können sich in das Betriebssystem des angegriffenen Computers einbetten, indem sich der Code des Wurms auch nach einem eventuellen Neustart aktiviert. Dafür erstellen die Schädlinge in der Regel eine oder mehrere Datei(en) mit dem Code des Wurms, bzw. fügen einige Einträge in die Regisry ein, die dem startenden Betriebssystem befehlen, auch den frisch eingebetteten Code des Wurms mit zu starten. Darüber hinaus - nicht direkt des Neustarts willen - kopiert sich der Code auch in andere Dateien (Verzeichnisse). Das hat folgendes Doppelziel: Zum einen können die infizierten Bestände nach einer eventuellen VirenVernichtung an versteckten Plätzen bestehen bleiben. Zum anderen ist der Schädling im Stande, sich auch im Intranet, in gemeinsam genutzten Verzeichnissen, in peer-to-peer Netzen zu verbreiten. Weiters kann auch die Einstellung nach der Standardeinstellung von Windows ausgenutzt werden, und zwar kann durch die erstellte AUTORUN.INF Datei bezweckt werden, dass sich auch der Code des Schädlingsprogramms bei der Eröffnung eines Laufwerks aktiviert.

Das Ungeziefer Win32/Rbot.7 Trojaner im Verzeichnis vom Windows System32 (laut Grundbedeutung: C:\Windows\System32) erzeugt folgende Dateien:

notepad32.txt
taskmngr.exe

Der Schädling Win32/Rbot.7 Trojaner erstellt, bzw. ändert (falls bereits vorhanden) folgende Einträge in der systembeschreibenden Datenbasis:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "Win32 NT Adv Services"="taskmngr.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Win32 NT Adv Services"="taskmngr.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\OLE] "EnambleDCOM"="N"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "restrictanonymous"="1"
[HKEY_CURRENT_USER\Software\Microsoft\OLE] "Win32 NT Adv Services"="taskmngr.exe"

Die durchgehend lauschenden Speicher residenten Viren, Würmer sollen sich zweckmäßig darum kümmern, nur einmal in den Speicher zu gelangen. Zu diesem Zweck erstellen sie einen sog. Mutex, dessen Existenz sie überprüfen, bevor sie in den Speicher gelangen.

Win32/Rbot.7 erstellt einen Mutex unter dem Namen: NLX .

Die Viren, Würmer sind in der Lage, Prozesse stoppen zu versuchen, die Bestandteile von Anti-Viren-Programmen bzw- Firewalls sind. Auch das hat ein doppeltes Ziel: Zum einen wird erschwert, dass der Anwender von der Infektion in Kenntnis Gesetz wird, zum anderen kann auch das Herauskommen des Hintertür-Komponenten erleichtert werden. Sie können auch vom bestimmten Verkehr zum Internet ablenken, den Zugriff auf bestimmte Web-Seiten verhindern.

Der Schädling Win32/Rbot.7 Trojaner stoppt folgende Prozesse:

ACKWIN32.EXE
ADAWARE.EXE
ADVXDWIN.EXE
AGENTSVR.EXE
AGENTW.EXE
Vollständige Liste...

ACKWIN32.EXE
ADAWARE.EXE
ADVXDWIN.EXE
AGENTSVR.EXE
AGENTW.EXE
ALERTSVC.EXE
ALEVIR.EXE
ALOGSERV.EXE
AMON9X.EXE
ANTI-TROJAN.EXE
ANTIVIRUS.EXE
ANTS.EXE
APIMONITOR.EXE
APLICA32.EXE
APVXDWIN.EXE
ARR.EXE
ATCON.EXE
ATGUARD.EXE
ATRO55EN.EXE
ATUPDATER.EXE
ATWATCH.EXE
AU.EXE
AUPDATE.EXE
AUTO-PROTECT.NAV80TRY.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCC32.EXE
AVGCTRL.EXE
AVGNT.EXE
AVGSERV.EXE
AVGSERV9.EXE
AVGUARD.EXE
AVGW.EXE
AVKPOP.EXE
AVKSERV.EXE
AVKSERVICE.EXE
AVKWCTl9.EXE
AVLTMAIN.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVSYNMGR.EXE
AVWIN95.EXE
AVWINNT.EXE
AVWUPD.EXE
AVWUPD32.EXE
AVWUPSRV.EXE
AVXMONITOR9X.EXE
AVXMONITORNT.EXE
AVXQUAR.EXE
BACKWEB.EXE
BARGAINS.EXE
BD_PROFESSIONAL.EXE
BEAGLE.EXE
BELT.EXE
BIDEF.EXE
BIDSERVER.EXE
BIPCP.EXE
BIPCPEVALSETUP.EXE
BISP.EXE
BLACKD.EXE
BLACKICE.EXE
BLSS.EXE
BOOTCONF.EXE
BOOTWARN.EXE
BORG2.EXE
BPC.EXE
BRASIL.EXE
BS120.EXE
BUNDLE.EXE
BVT.EXE
CCAPP.EXE
CCEVTMGR.EXE
CCPXYSVC.EXE
CDP.EXE
CFD.EXE
CFGWIZ.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLEAN.EXE
CLEANER.EXE
CLEANPC.EXE
CLICK.EXE
CMD32.EXE
CMESYS.EXE
CMGRDIAN.EXE
CMON016.EXE
CONNECTIONMONITOR.EXE
CPD.EXE
CPF9X206.EXE
CPFNT206.EXE
CTRL.EXE
CV.EXE
CWNB181.EXE
CWNTDWMO.EXE
Claw95.EXE
DATEMANAGER.EXE
DCOMX.EXE
DEFALERT.EXE
DEFSCANGUI.EXE
DEFWATCH.EXE
DEPUTY.EXE
DIVX.EXE
DLLCACHE.EXE
DOORS.EXE
DPF.EXE
DPFSETUP.EXE
DPPS2.EXE
DRWATSON.EXE
DRWEB32.EXE
DRWEBUPW.EXE
DSSAGENT.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
EFPEADM.EXE
EMSW.EXE
ENT.EXE
ESAFE.EXE
ESCANH95.EXE
ESCANHNT.EXE
ESCANV95.EXE
ESPWATCH.EXE
ETHEREAL.EXE
ETRUSTCIPE.EXE
EVPN.EXE
EXANTIVIRUS-CNET.EXE
EXE.AVXW.EXE
EXPERT.EXE
EXPLORE.EXE
F-AGNT95.EXE
F-AGOBOT.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FAMEH32.EXE
FAST.EXE
FCH32.EXE
FIH32.EXE
FINDVIRU.EXE
FIREWALL.EXE
FLOWPROTECTOR.EXE
FNRB32.EXE
FP-WIN.EXE
FP-WIN_TRIAL.EXE
FPROT.EXE
FRW.EXE
FSAA.EXE
FSAV.EXE
FSAV32.EXE
FSAV530STBYB.EXE
FSAV530WTBYB.EXE
FSAV95.EXE
FSGK32.EXE
FSM32.EXE
FSMA32.EXE
FSMB32.EXE
GATOR.EXE
GBMENU.EXE
GBPOLL.EXE
GENERICS.EXE
GMT.EXE
GUARD.EXE
GUARDDOG.EXE
HACKTRACERSETUP.EXE
HBINST.EXE
HBSRV.EXE
HIJACKTHIS.EXE
HOTACTIO.EXE
HOTPATCH.EXE
HTLOG.EXE
HTPATCH.EXE
HWPE.EXE
HXDL.EXE
HXIUL.EXE
IAMAPP.EXE
IAMSERV.EXE
IAMSTATS.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IDLE.EXE
IEDLL.EXE
IEDRIVER.EXE
IEXPLORER.EXE
IFACE.EXE
IFW2000.EXE
INETLNFO.EXE
INFUS.EXE
INFWIN.EXE
INIT.EXE
INTDEL.EXE
INTREN.EXE
IOMON98.EXE
IPARMOR.EXE
IRIS.EXE
ISRV95.EXE
ISTSVC.EXE
JAMMER.EXE
JDBGMRG.EXE
JEDI.EXE
KAVLITE40ENG.EXE
KAVPERS40ENG.EXE
KAVPF.EXE
KAZZA.EXE
KEENVALUE.EXE
KERIO-PF-213-EN-WIN.EXE
KERIO-WRL-421-EN-WIN.EXE
KERIO-WRP-421-EN-WIN.EXE
KERNEL32.EXE
KILLPROCESSSETUP161.EXE
LAUNCHER.EXE
LDNETMON.EXE
LDPRO.EXE
LDPROMENU.EXE
LDSCAN.EXE
LNETINFO.EXE
LOADER.EXE
LOCALNET.EXE
LOCKDOWN.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LORDPE.EXE
LSETUP.EXE
LUALL.EXE
LUAU.EXE
LUCOMSERVER.EXE
LUINIT.EXE
LUSPT.EXE
MAPISVC32.EXE
MCAGENT.EXE
MCMNHDLR.EXE
MCSHIELD.EXE
MCTOOL.EXE
MCUPDATE.EXE
MCVSRTE.EXE
MCVSSHLD.EXE
MD.EXE
MFIN32.EXE
MFW2EN.EXE
MFWENG3.02D30.EXE
MGAVRTCL.EXE
MGAVRTE.EXE
MGHTML.EXE
MGUI.EXE
MINILOG.EXE
MMOD.EXE
MOOLIVE.EXE
MOSTAT.EXE
MPFAGENT.EXE
MPFSERVICE.EXE
MPFTRAY.EXE
MRFLUX.EXE
MSAPP.EXE
MSBB.EXE
MSBLAST.EXE
MSCACHE.EXE
MSCCN32.EXE
MSCMAN.EXE
MSCONFIG.EXE
MSDM.EXE
MSDOS.EXE
MSIEXEC16.EXE
MSINFO32.EXE
MSLAUGH.EXE
MSMGT.EXE
MSMSGRI32.EXE
MSSMMC32.EXE
MSSYS.EXE
MSVXD.EXE
MU0311AD.EXE
MWATCH.EXE
N32SCANW.EXE
NAV.EXE
NAVAP.NAVAPSVC.EXE
NAVAPSVC.EXE
NAVAPW32.EXE
NAVDX.EXE
NAVENGNAVEX15.NAVLU32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVSTUB.EXE
NAVW32.EXE
NAVWNT.EXE
NC2000.EXE
NCINST4.EXE
NDD32.EXE
NEOMONITOR.EXE
NEOWATCHLOG.EXE
NETARMOR.EXE
NETD32.EXE
NETINFO.EXE
NETMON.EXE
NETSCANPRO.EXE
NETSPYHUNTER-1.2.EXE
NETSTAT.EXE
NETUTILS.EXE
NISSERV.EXE
NISUM.EXE
NMAIN.EXE
NOD32.EXE
NORMIST.EXE
NORTON_INTERNET_SECU_3.0_407.EXE
NOTSTART.EXE
NPF40_TW_98_NT_ME_2K.EXE
NPFMESSENGER.EXE
NPROTECT.EXE
NPSCHECK.EXE
NPSSVC.EXE
NSCHED32.EXE
NSSYS32.EXE
NSTASK32.EXE
NSUPDATE.EXE
NT.EXE
NTRTSCAN.EXE
NTVDM.EXE
NTXconfig.EXE
NUI.EXE
NUPGRADE.EXE
NVARCH16.EXE
NVC95.EXE
NVSVC32.EXE
NWINST4.EXE
NWSERVICE.EXE
NWTOOL16.EXE
OLLYDBG.EXE
ONSRVR.EXE
OPTIMIZE.EXE
OSTRONET.EXE
OTFIX.EXE
OUTPOST.EXE
OUTPOSTINSTALL.EXE
OUTPOSTPROINSTALL.EXE
PADMIN.EXE
PANIXK.EXE
PATCH.EXE
PAVCL.EXE
PAVPROXY.EXE
PAVSCHED.EXE
PAVW.EXE
PCC2002S902.EXE
PCCIOMON.EXE
PCCNTMON.EXE
PCCWIN97.EXE
PCCWIN98.EXE
PCDSETUP.EXE
PCFWALLICON.EXE
PCIP10117_0.EXE
PCSCAN.EXE
PDSETUP.EXE
PENIS.EXE
PERISCOPE.EXE
PERSFW.EXE
PF2.EXE
PFWADMIN.EXE
PGMONITR.EXE
PINGSCAN.EXE
PLATIN.EXE
POP3TRAP.EXE
POPROXY.EXE
POPSCAN.EXE
PORTDETECTIVE.EXE
PORTMONITOR.EXE
POWERSCAN.EXE
PPINUPDT.EXE
PPTBC.EXE
PPVSTOP.EXE
PRIZESURFER.EXE
PRMT.EXE
PRMVR.EXE
PROCDUMP.EXE
PROCEXPLORERV1.0.EXE
PROGRAMAUDITOR.EXE
PROPORT.EXE
PSPF.EXE
PURGE.EXE
PUSSY.EXE
PVIEW95.EXE
PandaAVEngine.exe
Penis32.exe
QCONSOLE.EXE
QSERVER.EXE
RAPAPP.EXE
RAV7.EXE
RAV7WIN.EXE
RAV8WIN32ENG.EXE
RAY.EXE
RB32.EXE
RCSYNC.EXE
REALMON.EXE
REGED.EXE
REGEDIT.EXE
REGEDT32.EXE
RESCUE.EXE
RESCUE32.EXE
RRGUARD.EXE
RSHELL.EXE
RTVSCAN.EXE
RTVSCN95.EXE
RULAUNCH.EXE
RUN32DLL.EXE
RUNDLL.EXE
RUNDLL16.EXE
RUXDLL32.EXE
SAFEWEB.EXE
SAHAGENT.EXE
SAVE.EXE
SAVENOW.EXE
SBSERV.EXE
SC.EXE
SCAM32.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SCRSVR.EXE
SCVHOST.EXE
SD.EXE
SERV95.EXE
SERVICE.EXE
SERVLCE.EXE
SETUPVAMEEVAL.EXE
SETUP_FLOWPROTECTOR_US.EXE
SFC.EXE
SGSSFW32.EXE
SH.EXE
SHELLSPYINSTALL.EXE
SHN.EXE
SHOWBEHIND.EXE
SMC.EXE
SMS.EXE
SMSS32.EXE
SOAP.EXE
SOFI.EXE
SPF.EXE
SPHINX.EXE
SPOLER.EXE
SPOOLCV.EXE
SPOOLSV32.EXE
SPYXX.EXE
SREXE.EXE
SRNG.EXE
SS3EDIT.EXE
SSGRATE.EXE
SSG_4104.EXE
ST2.EXE
START.EXE
STCLOADER.EXE
SUPFTRL.EXE
SUPPORT.EXE
SUPPORTER5.EXE
SVC.EXE
SVCHOSTC.EXE
SVCHOSTS.EXE
SVSHOST.EXE
SWEEP95.EXE
SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE
SYMPROXYSVC.EXE
SYMTRAY.EXE
SYSEDIT.EXE
SYSTEM.EXE
SYSTEM32.EXE
SYSUPD.EXE
SysMonXP.exe
TASKMG.EXE
TASKMO.EXE
TASKMON.EXE
TAUMON.EXE
TBSCAN.EXE
TC.EXE
TCA.EXE
TDS-3.EXE
TDS2-98.EXE
TDS2-NT.EXE
TEEKIDS.EXE
TFAK.EXE
TFAK5.EXE
TGBOB.EXE
TITANIN.EXE
TITANINXP.EXE
TRACERT.EXE
TRICKLER.EXE
TRJSCAN.EXE
TRJSETUP.EXE
TROJANTRAP3.EXE
TSADBOT.EXE
TVMD.EXE
TVTMD.EXE
UNDOBOOT.EXE
UPDAT.EXE
UPDATE.EXE
UPGRAD.EXE
UTPOST.EXE
VBCMSERV.EXE
VBCONS.EXE
VBUST.EXE
VBWIN9X.EXE
VBWINNTW.EXE
VCSETUP.EXE
VET32.EXE
VET95.EXE
VETTRAY.EXE
VFSETUP.EXE
VIR-HELP.EXE
VIRUSMDPERSONALFIREWALL.EXE
VNLAN300.EXE
VNPC3000.EXE
VPC32.EXE
VPC42.EXE
VPFW30S.EXE
VPTRAY.EXE
VSCAN40.EXE
VSCENU6.02D30.EXE
VSCHED.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSISETUP.EXE
VSMAIN.EXE
VSMON.EXE
VSSTAT.EXE
VSWIN9XE.EXE
VSWINNTSE.EXE
VSWINPERSE.EXE
W32DSM89.EXE
W9X.EXE
WATCHDOG.EXE
WEBDAV.EXE
WEBSCANX.EXE
WEBTRAP.EXE
WFINDV32.EXE
WGFE95.EXE
WHOSWATCHINGME.EXE
WIMMUN32.EXE
WIN-BUGSFIX.EXE
WIN32.EXE
WIN32US.EXE
WINACTIVE.EXE
WINDOW.EXE
WINDOWS.EXE
WININETD.EXE
WININIT.EXE
WININITX.EXE
WINLOGIN.EXE
WINMAIN.EXE
WINNET.EXE
WINPPR32.EXE
WINRECON.EXE
WINSERVN.EXE
WINSSK32.EXE
WINSTART.EXE
WINSTART001.EXE
WINTSK32.EXE
WINUPDATE.EXE
WKUFIND.EXE
WNAD.EXE
WNT.EXE
WRADMIN.EXE
WRCTRL.EXE
WSBGATE.EXE
WUPDATER.EXE
WUPDT.EXE
WYVERNWORKSFIREWALL.EXE
XPF202EN.EXE
ZAPRO.EXE
ZAPSETUP3001.EXE
ZATUTOR.EXE
ZONALM2601.EXE
ZONEALARM.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
bbeagle.exe
cmd.exe
d3dupdate.exe
i11r54n4.exe
irun4.exe
mscvb32.exe
rate.exe
ssate.exe
sysinfo.exe
winsys.exe
winupd.exe
zurück...

Der Schädling Win32/Rbot.7 Trojaner stoppt von anderen Schädlingen folgende Abläufe:

i11r54n4.exe
irun4.exe
d3dupdate.exe
rate.exe
ssate.exe
Vollständige Liste...

Um sich im lokalen Netzwerk leichter zu verbreiten, sind die Viren und Würmer in der Lage, Dateien bzw. Verzeichnisse im Netz freizugeben und evtl. auf dem infizierten Rechner FTP Server-Dienstleistung zu starten. Selbstverständlich gehen die Schädlinge so vor, um den am anderen Computer sitzenden, neugierigen Anwender durch die Freigabe ebenfalls zu infiziert.

Der Schädling Win32/Rbot.7 Trojaner nutzt folgende Dateien als geteilte Datei:

admin$
admin$\system32
c$
c$\windows\system32
ipc$

Sicherheitslücken

Ein, sich über Internet verbreitender Virus/Wurm kann bei Interaktivität des Benutzers die Sicherheitslücke des Betriebssystems, bzw. einer der Anwendungen des angegriffenen Rechners ausnutzen. Dadurch ist er in der Lage, die Steuerung über den angegriffenen Computer zu übernehmen.

Der Schädling Win32/Rbot.7 Trojaner nutzt folgende Sicherheitslücke: MS04-011 von Microsoft aus, um sich zu verbreiten.

Der in dem LSASS.EXE (Local Security Authority Subsystem Service) Programm vorhandene Pufferüberfülle-Fehler ermöglicht das von weitem gesteuerte Laufen des Codes auf dem betreffenden System, dadurch kann der Angreifer die Steuerung des Rechners aus der Ferne voll übernehmen.

Der Schädling Win32/Rbot.7 Trojaner nutzt, um sich zu verbreiten, die Verletzbarkeit MS03-049 von Microsoft aus.

Die Ursache für die Sicherheitslücke ist, dass der Pufferüberlauf des Arbeitsstation die Durchführung von Programmcode ermöglicht.

Der Schädling Win32/Rbot.7 Trojaner nutzt, um sich zu verbreiten, die Verletzbarkeit MS04-012 von Microsoft aus.

Die Verletzbarkeit betrifft den RPC/DCOM Dienst. Der Angreifer, die die Sicherheitslücke ausnutzt, kann die Steuerung des betreffenden Systems voll übernehmen. Der Angreifer kann allerlei Operationen im System durchführen, d.h. er kann Programme installieren, Daten lesen, ändern und löschen, des weiteren neue Verzeichnisse mit Vollberechtigung erstellen.

Der Schädling Win32/Rbot.7 Trojaner nutzt, um sich zu verbreiten, die Verletzbarkeit MS02-039 von Microsoft aus.

Der Sicherheitsfehler befindet sich in den Programmen Microsoft SQL Server 2000 und MSDE 2000. Der überquellender Fehler eines unkontrollierten Buffers ermöglicht dem Angreifer das Aktivieren des Programmcodes aus der Ferne.

Angriff über das Internet

Viele Viren, Würmer sind in der Lage, einen Angriff auf andere Computer über das Internet zu starten und deren Einsatz so unmöglich zu machen.

Der Schädling Trojaner führt folgende "flood" Angriffe durch:

syn flood
udp flood
ping flood

Backdoor

Viren und Würmer öffnen immer häufiger eine Hintertür, einen so genannten Backdoor, auf dem infizierten Rechner. Dadurch können sie voll und ganz die Kontrolle über den Computer übernehmen. So kann der Angreifer auf dem Computer machen was er will: Er kann Anwendungen laufen lassen, Anwendungen stoppen, Dateien herunterladen, Passwörter und Zugriffscode entfernen od. ändern.

Der Schädling Win32/Rbot.7 Trojaner öffnet an folgender Schnittstelle (Port) einen Backdoor: 4446 .

Der Schädling Trojaner ermöglicht das Laufen folgender Befehle auf dem Computer:

Gruppe	Befehl	Beschreibung
[SCAN]	Scan
[CLONES]	findfilestop
[TFTP]	tftpstop
[PING]	Ping flood
[PING]	pingstop
[UPD]	UDP flood
[UPD]	udpstop
[SYN]	Syn flood
[SYN]	synstop
[DDoS]	DDoS flood
[DDoS]	ddos.stop
[SCAN]	scanstop
[REDIRECT]	TCP redirect
[REDIRECT]	redirectstop
[LOG]	Log list
[LOG]	logstop
[HTTPD]	httpstop
[RLOGIND]	rloginstop
[SOCKS4]	Server
[SOCKS4]	socks4stop
[SOCKS4]	socks4
[SOCKS4]	unsec
[SECURE]	Secure
[SOCKS4]	unsecure
[SOCKS4]	sec
[SOCKS4]	secure
[SOCKS4]	ver
[SOCKS4]	version
[SOCKS4]	logout
[SOCKS4]	die
[SOCKS4]	rndnick
[SECURE]	securestop
[CLONES]	Clone
[CLONES]	clonestop
[CLONES]	psstop
[CLONES]	procsstop
[CLONES]	ffstop

Bemerkung: Die englischen Beschreibungen der Befehle in der Tabelle kommen im Code des Virus vor. Ein Mittel der Öffnung einer Hintertür auf dem angegriffenen Rechner ist die Schaffung der Möglichkeit zur Fernsteuerung durch den Virus oder Wurm über irgendeinen IRC-Kanal. Über die IRC-Kanäle kann er sich auch an andere IRC-Anwender weiterschicken.

Der Schädling Win32/Rbot.7 Trojaner schließt sich folgender IRC-Server an:

www.zoneage.net
www.knetterknek.com

Der Schädling Win32/Rbot.7 Trojaner schließt sich dem IRC-Kanal: #hi an.

Auf den angegriffenen Computer sind die geteilten Verzeichnisse der erstrangige Zielpunkt für die Viren, bzw. Würmer. Dadurch können sie sich nicht nur über das lokale Netz, sondern auch über peer-to-peer (P2P) Beziehungen verbreiten. Darüber hinaus können sie versuchen, Verbindung auch zu den geteilten Verzeichnissen anderer Computer herzustellen.

Zum Anschließen nutzt er folgende Benutzernamen:

Zytowski
Zwiers
Zurn
Zucconi
Zoldak
Vollständige Liste...

Zytowski
Zwiers
Zurn
Zucconi
Zoldak
Zerbini
Zegans
Zangwill
Zahedi
Zachary
Youk-See
Yoo
Yoffe
Yetiv
Yesson
Yedidia
Ybarra
Yates
Yarchuk
Yankee
Yamane
Yacono
Votey
Vorhaus
Woods-Powell
Woods
Wooden
Woo
VonHoffman
Wolk
Voigt
Viviani
Vitali
Wilson
Willstatter
Villarreal
Wilkinson
Wilkin
Wilk
Wilhelm
Wilder
Vignola
Viens
Wiener
Wiedersheim
Viano
Viana
Whittaker
Whitla
White
Whilton
Whately
Wetzel
Wescott
Verghese
Venne
Wengret
Welsh
Welles
Velasquez
Weissman
Weissbourd
Weinhaus
Weingarten
Weighart
Waugh
Vasquez
Wasowska
Warshafsky
Vanheeckeren
Vandenberg
VanZwet
vanAllen
Walter
Wallenberg
Wales
Valencia
Valberg
Waite
Vacca
Uzuner
Usdan
Urdang-Brown
Urban
Upsdell
Untermeyer
Ullman
Tzamarias
Twells
Tuttle
Turek
Turano
Tukan
Tudge
Tuck
Tsukurov
Tsomides
Tsiatis
Truss
Troy
Troiani
Tringali
Trewin
Trenga
Traebert
Toye
Towler
Torske
Torresi
Topulos
Toomer
Tomford
Tolman
Tolls
Tollestrup
Tofallis
Timmons
Till
Tierney
Throop
Thomsen
Thisted
Thibault
Theodos
Thavaneswaran
Than
Terracini
Tenney
Temmer
Temes
Teague
Tcherepnin
Tawn
Taveras
Tatar
Tanowitz
Tandler
Tambiah
Talaugon
Tai
Tagiuri
Swindle
Sweetser
Sweeting
Surdam
Suo
Sumner
Sullivan
Stringer
Streiff
Strauch
Strange
Stott
Storer
Stonich
Stolzenberg
Stockwell
Stockton
Stock
Stillwell
Stiepock
Stewart-Oaten
Stepniewska
Stephanian
Steiner
Stefani
Statlender
States
Stassinopolus
Stang
Stam
Stalvey
StMartin
Spinrad
Spiliotis
Spiegelhalter
Spicer
Sperber
Spence
Speizer
Spaulding
Sparrow
Spanier
Soultanian
Soule
Soukup
Sottak
Sorg
Sorabella
Sommariva
Somers
Solon
Socolow
Snodgrass
Sniffen
Smilow
Slowe
Sloan
Skoda
Skerry
Skane
Sites
Sirilli
Sinsabaugh
Silvetti
Silverman
Signa
Sigini
Sigalot
Siesto
Shimon
Shibata
Shia
Shesko
Shepstone
Sheppard
Shepherd
Sheats
Shea
Shavelson
Shatrov
Shar
Shanley
Shankland
Shakis
Shaikh
Seyfert
Sexton
Seterdahl
Sennett
Sen
Selvage
Sekler
Segal
Seeber
Seaton
Scudder
Scovel
Schwickrath
Schwan
Schuyler
Schutte
Schuman
Schossberger
Schmitt
Schilling
Schifini
Schiano
Scheiner
Scharlemann
Scharf
Scepan
Scarponi
Sayied
Sawtell
Satterthwaite
Satta
Satin
Sase
Sartore
Sarin
Sapers
Sanna
Sanchez-Ramirez
Samson
Sali
Sahu
Safire
Sadler
Sabatello
Ryu
Rush
Ruescher
Ruderman
Ruan
Royal
Row
Ronen
Rogers
Roesler
Rocha
Robinson
Rivera
Rish
Rineer
Rindos
Rielly
Richmond
Rhea
Resnik
Repetto
Renick
Remak
Reinold
Cunningham
Reedquist
Redden-Tyler
Rayport
Rapple
Rankin
Rangan
Raney
Rajagopalan
Radeke
Rabkin
Rabe
Quetin
Quaday
Pynchon
Pugh
Puccia
Prothrow-Stith
Proietti
Pritz
Pritchard
Prevost
Preucel
Presper
Powers
Poolman
Poma
Politis
Polanyi
Polak
Poirier
Pointer
Poincaire
Pocobene
Plous
Plasket
Plant
Plancon
Pinot
Pilbeam
Pfister
Pettit
Pettibone
Petruzello
Peters
Perrimon
Perone
Perna
Perlman
Perlak
Perko
Pereira
Penny
Peishel
Pederson
Pearlberg
Peabody
Paynter
Pawloski
Pavlon
Pavetti
Pattullo
Patrick
Patefield
Pascucci
Partridge
Parris
Parmeggiani
Paoletti
Pantilla
Panizzon
Panadero
Palmitesta
Pallara
Palepu
Palayoor
Paine
PaesDealmeida
Ovid
Ouchida
Otten
Ottaviani
Ostrowski
Ospina
Orsi
Orfield
Oray
Opel
O'meara
Oman
O'malley
Olszewski
Olson
Olsen
Oldford
O'hagan
Ogata
Ocougne
Nuzum
Notman
Nitabach
Nisenson
Nickoloff
Nickerson
Newlin
Newfeld
Neuman
Nesci
Nenna
Nelson
Nayduch
Naviaux
Nardone
Nardi
Napolitano
Naddeo
Mussachio
Mumford
Mulroy
Mulkern
Mugnai
Muello
Mudarri
Motooka
Mostafavi
Mosler
Mosher
Mortimer
Morrow
Morrison
Moreton
Morani
MooreDeCh.
Montilio
Monque
Moiamedi
Mohr
Moeller
Modestino
Mocroft
Mittal
Mitropoulos
Gonzalez
Minichiello
Mini
Minh
Mills
Mieher
Middle
Michelman
Meurer
Metropolis
Metelka
Merz
Merseth
Merminod
Merlani
Merikoski
Menzies
Memisoglu
Meccariello
Mcnulty
Mcnealy
Mclaren
Mclane
Mckenna
Mcintosh
McIlroy
Mcgoldrick
Mcghee
McFadden
Mcelroy
Mcdowell
Mcclearn
Mccall
Mccaffery
Mcbride
Mazziotta
Mazzali
May
Mauzy
Mattson
Matsukata
Matarazzo
Matalka
Mass
Marubini
Marton
Martochio
Martinez
Marques
Margetts
Margalit
Marcus
Marchbanks
March
Mantovan
Manganiello
Mandel
Manalis
Malova
Maller
Malatesta
Maisano
Maine-Hershey
Maier
Mahony
Maggio
Madigan
Macy
MacMillan
Mackenney
Macintyre
Maceachern
Macdonald
Maccormac
Luzader
Lutcavage
Lussier
Luoma
Lunetta
Luecke
Luczkow
Luciano
Lucas
Lubin
Loza
Lowenstein
Loveman
Loss
Longworth
Locatelli
Lizardo
Livolsi
Livi
Livernash
Litvak
Little
Lipponen
Lippmann
Linzee
Linehan
Line
Linder
Linda
Linares
Lim
Lightfoot
Light
Liem
Lidano
Liakos
Lessi
Lesser
l'Enclos
Lenard
Leite
Leclercq
Lecce
Lecar
Lawless
Lashley
Laserna
Lanzit
Lantieri
Lankes
Landes
Lallemant
Laing
Lafler
Labunka
Kuwabara
Kusman
Kumar
Kuenzli
Krysiak
Kroemer
Kraus
Krasney
Krailo
Kraemer
Kovaks
Kotter
Korzybski
Kool
Konrad
Koniaris
Kommer
Koivumaki
Kohn
Koch
Kobrick
Knuff
Klint
Klinkenborg
Kling
Klemperer
Kleinfelder
Kleiman
Kleckner
Kittridge
Kirscht
Kippenberger
Kinsley
Kindall
Kimura
Kimmett
Kimmel
Khong
Keul
Kerry
Kendall
Kemsley
Kempton
Kelsey
Kelker
Keith
Keepper
Keenan
Kee
Kawachi
Kasten
Kassower
Karpouzes
Kangis
Kamel
Kalman
Kalinowski
Kalil
Kaligian
Kalbfleisch
Kafadar
Kaboolian
Kabbash
Julious
Juliano
Jucks
Jorgensen
Jolly
Johns
Johannsen
Johannesson
Jewett
Jespersen
Jenkins
Jellis
Jeffers
Jay
Jarrell
Jarnagin
Janjigian
Jamil
Jain
Jagoe
Jagger
Jagers
Jackson
Jacenko
Iyer
Isserman
Isbill
Isaievych
Isaac
Inniss
Inamura
Igarashi
Ichikawa
Iaquinta
Hyde
Hutchings
Hurtubise
Hupp
Huntington
Hungerford
Huidekoper
Huey
Hoy
Howard
Hottle
Hostage
Hoshida
Horsley
Hopkins
Hooker
Holzman
Holway
Holter
Holoien
Holmes
Hokoda
Hokanson
Hoffman
Hoffer
Hock
Hoang
Hitchcock
Hirst
Hind
Himmelfarb
Heyeck
Heubert
Hester
Herrera
Hernandez
Henrichs
Henery
Hemphill
Helprin
Hellmiss
Hellman
Heiland
Heft
Heermans
Hazlewood
Haynes
Hayes
Hawkes
Haviaras
Harwell
Hartnett
Hartmann
Hartman
Harrigan
Harlow
Hargraves
Harding
Hanssen
Hand
Hammerness
Hamer
Hambarzumjan
Halpert
Hallowell
Halkias
Haley
Hackshaw
Hackman
Haar
Guo
Gunn
Guenthart
Gruppe
Gruner
Grummell
Grigoletto
Griffiths
Greenfeld
Greenberg
Gravell
Gozzi
Goody
Goodearl
Good
Goncalves
Goldfarb
Glendon
Glegg
Gleason
Gist
Gillispie
Gill
Gili
Gilbert
Gibson
Gibbens
Ghorai
Gerrett
Georgi
Gemberling
Geller
Garonna
Garman
Garfield
Gambini
Galwey
Galeotti
Gaggiotti
Gabrielli
Fusaro
Furth
Fuller
Fujii-Abe
Frye
Fryberger
Frowiss
Frisken
Friedland
Fried
Freundlich
Freid
Frazier-Davis
Franz
Franklin-Kenea
Francisco
Fossi
Fossey
Fortier
Fortes
Forester
Folks
Flores
Flier
Fitzmaurice
Fisk
Fiorina
Finnegan
Finkelstein
Fink
Field
Fido
Feuer
Ferriell
Ferrante
Fernandes
Fernald
Feldman
Fejzo
Feigenbaum
Fates
Fasso'
Farren
Farone
Faris
Falorsi
Falco-Acosta
Faioes
Fagan
Fabbris
Everett
Euripides
Etter
Estes
Espinoza
Erez
Erdos
Erdman
Erbach
Eppling
Enyeart
Encinas
Elvis
Elmerick
Elmendorf
Eliasson
Eickenhorst
Edward
Edner
Edley
Eckel
Ebeling
Eardley
Dwyer
Dussault
Durrett
Duffin
D'souza
Drinker
Dowsland
Doug
Doty
Dosi
Dorf
Dore
Doonan
Donner
Donahue
Doherty
Dockery
Dirksen
Dionysius
Dilworth
Difronzo
Difabio
Diefenbach
Dicks
D'fini
Deutsch
Desombre
Denison
Denham
Denault
Demusz
Dempster
Deming
Dell'acqua
Delger
Deleon-Rendon
Delattre
Defeciani
Dees
Debroff
deRousse
del'Enclos
DeLaPena
DeGennaro
Dawkins
David
Daskalu
Dasgupta
Das
D'arcangelo
Dapice
Dante
Danieli
D'Ambra
Daly
Daldalian
daSilva
Cyders
Cvek
Cutler
Currier
Cui
Croxton
Croxen
Croshaw
Crocker
Crawford
Coutaux
Counter
Cosmides
Cornish
Corey
Connors
Condodina
Concino
Comstock
Compton
Collis
Collard
Colella
Coldren
Coito
Coblenz
Clow
Clifton
Clement
Clark
Clancy
Claffey
Cifarelli
Cicero
Ciampaglia
Church
Chupasko
Chu
Christopher
Christie
Christiano
Christian
Christenson
Chinman
Chinipardaz
Childs
Childress
Chien
Chiassino
Chervinsky
Cherry
Cheang
Charles
Chapman
Cerioli
Ceniceros
Cavell
Cavanagh
Castelda
Caspar
Case
Cascio
Cartmill
Carper
Caroti
Carmichael
Carlyle
Carlos
Carlin
Carayannopoulos
Caratozzolo
Capursi
Cappuccio
Capodilupo
Capocaccia
Caperton
Capanni
Canley
Cammilleri
Cammelli
Calnan
Cage
Byrd
Byerly
Byatt
Busetta
Burridge
Burke
Burdzy
Burden
Bunton
Bullard
Budding
Buchan
Brzycki
Brook
Broca
Britz
Brinton
Bridges
Bridgeman
Brewer
Brennan
Brenan
Breed
Brecht
Bradach
Bradac
Bracalente
Boyne
Boym
Boyland
Boyes
Boyajian
Boxer
Bowers
Bourneuf
Boudrot
Boudin
Botosh
Bothman
Bossi
Borden
Borack
Boorstin
Boone
Bookbinder
Book
Bontempo
Boniface
Bonham
Boner
Bologna
Bollinger
Bolick
Bolger
Blyth
Bloxham
Bloemhof
Bloembergen
Bloch
Blizard
Bliss
Blanke
Blakemore
Blagg
Blackwell
Blackbourn
Bisho
Bisema
Bir
Binion
Bickel
Biagioli
Beynart
Betti
Berrizbeitia
Bernston
Bernassola
Bernardo
Berke-Jenkins
Bergson
Benedict-Dye
Belloc
Bellini
Bellhouse
Bellavance
Belin-Collart
Belfer
Belaoussof
Belanger
Behenna
Bedford
Beder
Beckman
Bean
Beal
Beacon
Bayo
Bayles
Baumiller
Batchelder
Bashevis
Basavappa
Bartoo
Bartolome
Bartholomew
Barry
Barriola
Barnett
Barneson
Barbetti
Barberi
Baranowska
Baranczak
Barajas
Barabesi
Banta
Baltz
Ballew
Ballatori
Baleja
Bakanowsky
Bailar
Bagnold
Baglivo
Bady
Backus
Bachmuth
Azima
Ayling
Aykroyd
Ayiemba
Axworthy
Axelrod
Aurelius
Augustus
Atkins
Arky
Arjas
Aristotle
Arellano
Arduini
Arbia
Antos
Anthony
Ansley
Anfinrud
Andron
Andrelus
Ando
Andel
Anand
Amsden
Ameer
Amatangelo
Amaral
Altenhofen
Altenberger
Altavilla
Alongi
Allison
Aleks
Alda
Alcorn
Alavi
Ahlers
Adorno
Adibe
Adelstein
Addison
Adams
Ackerman
Abdulrazak
zurück...

Die Passwörter wählt er aus folgenden aus:

pass
ADMINISTRATOR
Administrateur
Administrador
Admin
Vollständige Liste...