W32/Forbot-BD

Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.

W32/Forbot-BD ist ein Netzwerkwurm mit Backdoortrojaner-Funktionalität. Der Wurm läuft kontinuierlich im Hintergrund und ermöglicht Backdoor-Zugriff auf den infizierten Computer. W32/Forbot-BD verbreitet sich über Netzwerkfreigaben und indem er die LSASS-Software-Schwachstelle (MS04-011) ausnutzt. Der Trojaner kann sich auch über Backdoors verbreiten, die von anderer Malware hinterlassen wurden. W32/Forbot-BD ist ein Netzwerkwurm mit Backdoortrojaner-Funktionalität.

W32/Forbot-BD verbreitet sich über Netzwerkfreigaben und indem er die LSASS-Software-Schwachstelle (MS04-011) ausnutzt. Der Trojaner kann sich auch über Backdoors verbreiten, die von anderer Malware hinterlassen wurden.

Wenn er erstmals ausgeführt wird, kopiert sich W32/Forbot-BD als MSMSGS.EXE in den Windows-Systemordner. Damit er automatisch beim Windows-Start aktiviert wird, erstellt W32/Forbot-BD die folgenden Registrierungseinträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Messenger = msmsgs.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Windows Messenger = msmsgs.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Windows Messenger = msmsgs.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Messenger = msmsgs.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Windows Messenger = msmsgs.exe

W32/Forbot-BD erstellt einen Dienst namens "Windows Messenger" mit dem Anzeigename "Windows Messenger".

Der Wurm läuft kontinuierlich im Hintergrund und ermöglicht über IRC-Kanäle Backdoor-Zugriff auf den infizierten Computer.

Mit der Backdoor-Komponente von W32/Forbot-BD können folgende Funktionen aktiviert werden:

Starten eines FTP-Servers.
Löschen von Netzwerkfreigaben.
Starten eines SOCKS4-, SOCKS5-, HTTP-, TCP- und GRE-Proxys.
Auflisten und Stoppen existierender Prozesse und Dienste.
Herunterladen, Starten und Löschen von Dateien.
Verändern der Registrierung.
Hinzufügen und Löschen von Diensten.
Stehlen von Produktschlüsseln beliebter Spiele und Anwendungen.
Durchsuchen anderer Computer nach offenen Ports und Versuch, diese auszunutzen.
Starten von Distributed-Denial-of-Service (DDoS)-Attacken.
Leeren des DNS-Cache.
Abmelden, Neustarten und Herunterfahren des Computers.

W32/Forbot-BD kann die Netzwerkfreigaben ADMIN$, IPC$, C$ und D$ löschen.

W32/Forbot-BD kann Produktschlüssel für folgende Spiele und Anwendungen stehlen:

AOL Instant Messenger
Yahoo Pager
.NET Messenger Service
Microsoft Windows Product ID
Counter-Strike
The Gladiators
Gunman Chronicles
Half-Life
Industry Giant 2
Unreal Tournament 2003
Unreal Tournament 2004
IGI 2: Covert Strike
Freedom Force
Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Command and Conquer: Tiberian Sun
Command and Conquer: Red Alert 2
Command and Conquer: Generals (Zero Hour)
Command and Conquer: Generals
James Bond 007: Nightfire
Global Operations
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Shogun: Total War: Warlord Edition
FIFA 2002
FIFA 2003
NHL 2002
NHL 2003
Nascar Racing 2002
Nascar Racing 2003
Rainbow Six III RavenShield
Hidden & Dangerous 2
Soldiers Of Anarchy
Soldier of Fortune II - Double Helix
Call of Duty
Neverwinter Nights

W32/Forbot-BD kann die folgenden Registrierungseinträge verändern, um DCOM zu aktivieren bzw. zu deaktivieren:

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM

W32/Forbot-BD versucht, andere Malware zu deaktivieren, wie z. B. Mitglieder der W32/Bagle-Familie.