Name:TR/Drop.Small.ue.11
Entdeckt am:15/09/2005
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:14.336 Bytes
MD5 Prüfsumme:645063cc02e5ebf5dd50f34483c81f74
VDF Version:6.31.1.58

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  TrendMicro: TROJ_SMALL.ANG
   •  F-Secure: W32/Dropper.ADV
   •  VirusBuster: Trojan.DR.Small.ZQ1
   •  Bitdefender: Dropped:Trojan.Downloader.2591.E


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter

 Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %TEMPDIR%\tmp%zweistellige zufällige Buchstabenkombination%.tmp

%TEMPDIR%\tmp%zweistellige zufällige Buchstabenkombination%.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.



Es wird versucht folgende Datei herunterzuladen:

– Die URLs sind folgende:
   • http://www.**********.us/backgr.jppg
   • http://www.**********.us/backgr1.jppg
   • http://www.**********.us/backgr2.jppg
   • http://www.**********.us/backgr3.jppg
   • http://**********.net/backgr.jppg
   • http://**********.net/backgr1.jppg
   • http://**********.net/backgr2.jppg
   • http://**********.net/backgr3.jppg
   • http://**********.hbhosting.com/backgr.jppg
   • http://**********.hbhosting.com/backgr1.jppg
   • http://**********.hbhosting.com/backgr2.jppg
   • http://**********.hbhosting.com/backgr3.jppg
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Hintertür Kontaktiert Server:
Den folgenden:
   • **********.171.45\count.php

Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

 Diverses  Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
   • www.yahoo.com

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Catalin Jora am Donnerstag, 15. September 2005
Die Beschreibung wurde geändert von Catalin Jora am Mittwoch, 21. September 2005

zurück . . . .