Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Tcom.2
Entdeckt am:13/12/2012
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigre:26.624 Bytes
MD5 Prfsumme:8e3cf147f6d642b4e0808cec743d856e
VDF Version:7.11.53.216

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: Backdoor.Nibu.L
   •  Mcafee: BackDoor-CCT
   •  Kaspersky: Trojan-Spy.Win32.Agent.fe
   •  TrendMicro: TROJ_DUMADOR.AV
   •  VirusBuster: Backdoor.Dumador.BM


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Setzt Sicherheitseinstellungen herunter
   • Zeichnet Tastatureingaben auf
   • nderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\windldra.exe



Folgende Datei wird gelscht:
   • %WINDIR%\send_logs_trigger



Es werden folgende Dateien erstellt:

%WINDIR%\netdx.dat Diese Datei dient als Flag fr eine interne Routine.
%WINDIR%\dvpd.dll
%WINDIR%\prntsvra.dll
%TEMPDIR%\fe43e701.htm Diese Datei enthlt gesammelte Tastatureingaben.
%WINDIR%\prntc.log
%WINDIR%\prntk.log

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKLM\software\microsoft\windows\currentversion\run\]
   • "load32"="%SYSDIR%\winldra.exe"



Folgende Registryschlssel werden hinzugefgt:

[HKCU\software\sars\]
   • "SocksPort"=dword:%zufllige Buchstabenkombination%

[HKCU\software\microsoft\internet explorer\main\]
   • "AllowWindowReuse"=dword:00000000

 Hosts Die hosts Datei wird wie folgt gendert:

In diesem Fall bleiben bestehende Eintrge erhalten.

Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • www.trendmicro.com
   • trendmicro.com
   • rads.mcafee.com
   • customer.symantec.com
   • liveupdate.symantec.com
   • us.mcafee.com
   • updates.symantec.com
   • update.symantec.com
   • www.nai.com
   • nai.com
   • secure.nai.com
   • dispatch.mcafee.com
   • download.mcafee.com
   • www.my-etrust.com
   • my-etrust.com
   • mast.mcafee.com
   • ca.com
   • www.ca.com
   • networkassociates.com
   • www.networkassociates.com
   • avp.com
   • www.kaspersky.com
   • www.avp.com
   • kaspersky.com
   • www.f-secure.com
   • f-secure.com
   • viruslist.com
   • www.viruslist.com
   • liveupdate.symantecliveupdate.com
   • mcafee.com
   • www.mcafee.com
   • sophos.com
   • www.sophos.com
   • symantec.com
   • securityresponse.symantec.com
   • us.mcafee.com/root/
   • www.symantec.com




Die modifizierte Host Datei sieht wie folgt aus:


 Hintertr Die folgenden Ports werden geffnet:

%ausgefhrte Datei% an einem zuflligen TCP port um einen Proxy Server zur Verfgung zu stellen.
%ausgefhrte Datei% am TCP Port 9125 um Backdoor Funktion zur Verfgung zu stellen.


Kontaktiert Server:
Den folgenden:
   • http://222.36.41.**********/system32/logger.php

Hierdurch knnen Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.


Sende Informationen ber:
     Erstellte Protokolldatei
     Informationen ber das Netzwerk
     Plattform ID

 Diebstahl Es wird versucht folgende Information zu klauen:

Passwrter folgender Programme:
   • WebMoney
   • Far Manager
   • Total Commander
   • Outlook
   • Outlook Express

Nachdem eine Webseite besucht wurde dessen URL eine der folgenden Substings enthlt, wird eine Protokollfunktion gestartet:
   • "gold"; "Storm"; "e-metal"; "Money"; "money"; "WM Keeper"; "Keeper";
      "Fethard"; "fethard"; "bull"; "Bull"; "mull"; "PayPal"; "Bank";
      "bank"; "cash"; "anz"; "ANZ"; "shop"; "Shop"; "..."; "ebay"; "invest";
      "casino"; "bookmak"; "pay"; "member"; "fund"; "Invest"; "Casino";
      "Bookmak"; "Pay"; "Member"; "Fund"; "bet"; "Bet"; "bill"; "Bill";
      "login"; "Login"

 Aufgezeichnet wird:
     Tastaturanschlge
     Fensterinformation
     Browserfenster
     Anmeldeinformation

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • Internet Explorer


Die Beschreibung wurde erstellt von Sergiu Oprea am Mittwoch, 3. August 2005
Die Beschreibung wurde geändert von Oliver Auerbach am Dienstag, 18. Oktober 2005

zurück . . . .