W32/Rbot-MD

Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.

W32/Rbot-MD ist ein Wurm mit Backdoortrojaner-Funktionalität.

W32/Rbot-MD kann sich auf Computer im lokalen Netzwerk verbreiten, die durch einfache Kennwörter geschützt sind, nachdem er den entsprechenden Backdoor-Befehl erhalten hat.

W32/Rbot-MD kann auch folgende Schwachstellen ausnutzen:

LSASS (MS04-011)
DCOM (MS04-012)
Microsoft SQL Server mit einfachen Kennwörtern.

Wenn er erstmals ausgeführt wird, kopiert sich W32/Rbot-MD als RPC.EXE in den Windows-Systemordner und startet diese Kopie des Wurms. Die Kopie versucht daraufhin, die originale Datei zu löschen. Damit er bei jedem Windows-Start aktiviert wird, erstellt W32/Rbot-MD die folgenden Registrierungseinträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Remote Procedure Call For Windows 32bit. = rpc.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Remote Procedure Call For Windows 32bit. = rpc.exe

W32/Rbot-MD kann auch den folgenden Registrierungseintrag erstellen:

HKCU\Software\Microsoft\OLE\
Remote Procedure Call For Windows 32bit. = rpc.exe

Der Wurm läuft kontinuierlich im Hintergrund und ermöglicht Backdoor-Zugriff auf den infizierten Computer.

Durch die Backdoor-Komponente von W32/Rbot-MD können folgende Aktionen gestartet werden:

Starten von Distributed-Denial-of-Service (DDOS)-Attacken mittels ICMP-, SYN-, UDP-, PING-, ACK- und TCP-Flooding.
Umleiten von xTCP- und xSOCKS4-Verkehr.
Remote-Login-Shell.
Herunterladen, Hochladen, Löschen und Ausführen von Dateien.
Einrichten eines xHTTP-, xTFTP- und xFTP-Fileservers.
Stehlen von Kennwörtern (einschließlich PayPal-Kontodaten).
Speichern von gedrückten Tasten.
Erstellen von Bildschirmaufnahmen.
Erstellen von Webcam-Aufnahmen und Videos.
Auflisten und Beenden von Prozessen.
Stoppen, Starten, Anhalten und Löschen von Diensten.
Öffnen und Schließen von Schwachstellen.
Port-Scan nach Schwachstellen auf anderen Remote-Computern.
Senden von E-Mails, wie von dem Remote-User angegeben.
Leeren der DNS- und ARP-Caches.
Herunterfahren und Neustart des Computers.
Hinzufügen und Löschen von Netzwerkfreigaben und Benutzern.
Schnüffeln in Netzwerkverkehr nach Kennwörtern.

Mit W32/Rbot-MD können Registrierungs- und Schlüsseldaten verschiedener Computerspiele und Anwendungen stehlen, darunter Folgende:

Counter-Strike
The Gladiators
Gunman Chronicles
Half-Life
Industry Giant 2
Legends of Might and Magic
Soldiers Of Anarchy
Microsoft Windows Product ID
Unreal Tournament 2003
Unreal Tournament 2004
IGI 2: Covert Strike
Freedom Force
Battlefield 1942
Battlefield 1942 (Road To Rome)
Battlefield 1942 (Secret Weapons of WWII)
Battlefield Vietnam
Black and White
Command and Conquer: Generals (Zero Hour)
James Bond 007: Nightfire
Command and Conquer: Generals
Global Operations
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Need For Speed Hot Pursuit 2
Need For Speed: Underground
Shogun: Total War: Warlord Edition
FIFA 2002
FIFA 2003
NHL 2002
NHL 2003
Nascar Racing 2002
Nascar Racing 2003
Rainbow Six III RavenShield
Command and Conquer: Tiberian Sun
Command and Conquer: Red Alert
Command and Conquer: Red Alert 2
Chrome
NOX
Hidden & Dangerous 2
Soldier of Fortune II - Double Helix
Neverwinter Nights
Neverwinter Nights (Shadows of Undrentide)
Neverwinter Nights (Hordes of the Underdark)

W32/Rbot-MD kann die folgenden Registrierungseinträge erstellen, um DCOM zu aktivieren bzw. zu deaktivieren und Beschränkungen auf den IPC$-Freigaben zu anzuwenden und aufzuheben:

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous

HKLM\SYSTEM\ControlSet\Control\Lsa\restrictanonymous

W32/Rbot-MD kann Netzwerkfreigaben und Benutzer auf dem infizierten Computer löschen.