Name:TR/Proxy.Mitgl.DQ.1
Entdeckt am:15/08/2005
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:9.056 Bytes
MD5 Prüfsumme:14c6230994fc57492f56182592cd255b
VDF Version:6.31.1.52

 Allgemein Aliases:
   •  Kaspersky: Trojan-Proxy.Win32.Mitglieder.dq
   •  VirusBuster: Trojan.DL.Agent.ST
   •  Bitdefender: Trojan.Proxy.Mitglieder.DQ


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Erstellt eine Datei
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\msnethlp32.exe
   • %SYSDIR%\msnethlp32.dll



Es wird folgende Datei erstellt:

%SYSDIR%mscore.bin

 Hintertür Die folgenden Ports werden geöffnet:

%WINDIR%\explorer.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
%WINDIR%\explorer.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.


Kontaktiert Server:
Einer der folgenden:
   • www.manwithn**********e.biz/cgi-bin/get.cgi
   • www.in**********e.net/cgi-bin/get.cgi
   • www.shivaspace**********logy.cn/cgi-bin/get.cgi
   • www.trymyg**********.com/cgi-bin/get.cgi

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein CGI Script.


Sende Informationen über:
    • Art der Internetverbindung
    • Aktueller Malware Status
    • Informationen über das Netzwerk
    • Geöffneter Port
    • Plattform ID
    • Systemzeit
    • Information über das Windows Betriebsystem

 Injektion – Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • explorer.exe


 Diverses Internetverbindung:
Um auf eine verfügbare Internetverbindung zu prüfen werden folgende DNS Server kontaktiert:
   • www.manwithnoname.biz
   • www.intlive.net
   • www.shivaspacetechnology.cn
   • www.trymygift.com

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • FSG 1.3

Die Beschreibung wurde erstellt von Victor Tone am Montag, 15. August 2005
Die Beschreibung wurde geändert von Victor Tone am Freitag, 26. August 2005

zurück . . . .