Vollständige Virenbeschreibung

Name:	TR/Agent.DL.2
Entdeckt am:	24/08/2005
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	36.969 Bytes
MD5 Prüfsumme:	13f81b6b0d9cd62837cfebc22777cf63
VDF Version:	6.31.01.176

Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Spy.Win32.Agent.gf
   • TrendMicro: TROJ_AGENT.XZ
   • Sophos: Troj/Dermon-D
   • Panda: Trj/Agent.AII
   • VirusBuster: Trojan.Agent.PK

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Erstellt Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\winserver.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es werden folgende Dateien erstellt:

– %SYSDIR%\winserv.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %SYSDIR%\winserv32.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %SYSDIR%\winserv.ini Enthält von der Malware genutzte Parameter.
– %SYSDIR%\winserv.dat Diese Datei enthält gesammelte Tastatureingaben.

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
• http://pleskin.**********.ua/part3/check.dat

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Classes\https\shell\open\command]
   Alter Wert:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome
   Neuer Wert:
   • @="%PROGRAM FILES%\Internet Explorer\Iexplore.exe"

– [HKLM\SOFTWARE\Classes\http\shell\open\command]
   Alter Wert:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome
   Neuer Wert:
   • @="%PROGRAM FILES%\Internet Explorer\Iexplore.exe"

Prozess Beendigung Liste der Prozesse die beendet werden:
   • zonealarm.exe
   • zonalm2601.exe
   • outpost.exe

Hintertür Die folgenden Ports werden geöffnet:

– %SYSDIR%\lsass.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
– %SYSDIR%\lsass.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.

Kontaktiert Server:
Den folgenden:
   • http://pleskin.**********.ua/

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.
Dies geschieht mittels der HTTP POST Methode unter Verwendung eines PHP Scripts.

Sende Informationen über:
    • Erstellte Protokolldatei
    • Umgebungsvariablen
    • IP Adresse
    • Informationen über das Netzwerk
    • Geöffneter Port
    • Information über das Windows Betriebsystem

Diebstahl – Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • https://www.e-gold.com/acct/balance.asp
   • https://www.e-gold.com/acct/accountinfo.asp
   • https://www.e-gold.com/acct/acct.asp

– Nachdem eine Webseite besucht wurde dessen URL eine der folgenden Substings enthält, wird eine Protokollfunktion gestartet:
   • "e-gold"
   • "e-bullion"
   • "intgold"
   • "1MDC"
   • "Pecunix"
   • "GoldMoney"
   • "Virtualgold"
   • "NetPay"
   • "paymer"
   • "e-gold"
   • "e-bullion"
   • "intgold"
   • "1MDC"
   • "Pecunix"
   • "GoldMoney"
   • "Virtualgold"
   • "NetPay"
   • "paymer"

– Aufgezeichnet wird:
    • Tastaturanschläge
    • Fensterinformation

Injektion – Es injiziert sich als einen Thread in einen Prozess.

Prozessname:
• lsass.exe

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• IS_ALIVE

Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.

Versteckt folgendes:
– Eigene Dateien

Eingesetzte Methode:
• Unsichtbar von Windows API

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Borland C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Oliver Auerbach am Mittwoch, 24. August 2005
Die Beschreibung wurde geändert von Oliver Auerbach am Freitag, 26. August 2005

zurück . . . .