W32/Rbot-JZ

Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.

W32/Rbot-JZ ist ein Netzwerkwurm und eine Backdoor für die Windows-Plattform.

Der Wurm verbreitet sich, indem er sich auf Netzwerkfreigaben mit einfachen Kennwörtern kopiert und die LSASS-Schwachstelle (MS04-011) ausnutzt.

Die Backdoor-Komponente verbindet sich mit einem vordefinierten IRC-Server und wartet auf Anweisungen von einem remoten Angreifer.

Wenn er gestartet wird, kopiert sich der Wurm in die Datei msnmsgr.exe im Windows-Systemordner und fügt folgende Einträge zur Registrierung hinzu:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Msn Messengers = "msnmsgr.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Msn Messengers = "msnmsgr.exe"

HKLM\System\CurrentControlSet\Control\Lsa\
Msn Messengers = "msnmsgr.exe"

HKLM\Software\Microsoft\Ole\
Msn Messengers = "msnmsgr.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Msn Messengers = "msnmsgr.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\
Msn Messengers = "msnmsgr.exe"

HKCU\System\CurrentControlSet\Control\Lsa\
Msn Messengers = "msnmsgr.exe"

HKCU\Software\Microsoft\Ole\
Msn Messengers = "msnmsgr.exe"

Der Wurm versucht, verschiedene andere Würmer und einige andere sicherheitsrelevante Prozesse zu deaktivieren.

Die Backdoor-Komponente gibt einem remoten Angreifer die Möglichkeit,:

Dateien auf und von dem infizierten Computer zu transferieren
Gedrückte Tasten des Anwenders zu speichern
in Netzwerkpaketen zu schnüffeln
Video-Aufnahmen zu erstellen
Distributed-Denial-of-Service-Attacken zu starten
CD-Schlüssel von Computerspielen zu stehlen