|
|
|
|
|
|
|||||||
| Software Rat & Tat bei Softwareproblemen |
|
|
Themen-Optionen | Ansicht |
14.01.2003, 10:22
|
#2 |
|
Inventar
 
|
http://securityresponse.symantec.com...ionet.318.html
oder Valentin Kolesnikov von Kasperky Labs hatb den Code als Backdoor.Bionet.318 identifiziert. Wird FIX_NIMDA.exe ausgeführt, startet er zwei neue Prozesse, win32cfg.exe und keyboard.exe. Zumindest unter Win2k wird eine Datei als C:\WINNT\System32\win32cfg.exe abgelegt. Weiterhin werden die Files C:\WINNT\System32\keyeye.ini, C:\WINNT\System32\keyboards.dll und C:\WINNT\System32\keyboards.exe angelegt. C:\WINNT\System32\keyeye.ini ist das Config File des Tastatur-Spions. Die Daten selbst werden in C:\WINNT\keylog.txt gespeichert. Der Trojaner verschafft sich Zugang zu allen Laufwerken von C: bis Z: und legt seine Konfigurations-Parameter in der Registry unter HKCU\Software\Cyberium Technologies\BioNet 3 ab und verändert verschiedene andere Einträge. AV Hersteller haben einige Informationen über den BioNet Trojaner, diese sind aber widersprüchlich, auch bzgl. obiger Analyse. Eine solche abweichende Analyse gibt es bspw. unter mischel.dhs.org. |
|
|
| Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1) | |
|
|
Baum-Darstellung