Name:TR/PSW.Lmir.53381
Entdeckt am:31/08/2005
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:53.381 Bytes
MD5 Prüfsumme:377d336c659395f6faf9100b69eaa84a
VDF Version:6.31.1.54

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Sophos: Troj/LegMir-AV
   •  Bitdefender: Trojan.PSW.Lmir.A


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\logonuit.exe
   • %SYSDIR%\winl0gon.exe
   • %SYSDIR%\windows.exe

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
   • "windows update"="%SYSDIR%\logonuit.exe"



Folgende Registryschlüssel werden geändert:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Alter Wert:
   • "Shell"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Shell"="Explorer.exe %SYSDIR%\windows.exe"

– HKCR\txtfile\shell\open\command
   Alter Wert:
   • @=%Einstellungen des Benutzers%
   Neuer Wert:
   • @="%SYSDIR%\winl0gon.exe %1"

 Prozess Beendigung Liste der Prozesse die beendet werden:
   • Iparmor.exe
   • MAILMON.EXE
   • KAVPFW.EXE
   • PasswordGuard.exe

Prozesse mit folgenden Charakteristiken werden beendet:
    •  Titel: Symantec AntiVirus     Name der Klasse: KV2004
    •  Titel: RavMon.exe     Name der Klasse: RavMonClass
    •  Titel: %zufällige Buchstabenkombination%     Name der Klasse: Tapplication
    •  Titel: %zufällige Buchstabenkombination%     Name der Klasse: TForm1
    •  Titel: %zufällige Buchstabenkombination%     Name der Klasse: TfLockDownMain
    •  Titel: %zufällige Buchstabenkombination%     Name der Klasse: ZAFrameWnd
    •  Titel: %zufällige Buchstabenkombination%     Name der Klasse: KvXP_ExpertFrame
    •  Titel: %zufällige Buchstabenkombination%     Name der Klasse: WHXMDI0
    •  Titel: RegEdit_RegEdit     Name der Klasse: TKillqqv
    •  Titel: %zufällige Buchstabenkombination%     Name der Klasse: TfrmMain

 Diebstahl Es wird versucht folgende Information zu klauen:

– Passwörter folgender Programme:
   • Legend of Mir2
   • Legend of Mir3

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Irina Boldea am Mittwoch, 31. August 2005
Die Beschreibung wurde geändert von Irina Boldea am Donnerstag, 1. September 2005

zurück . . . .