Vollständige Virenbeschreibung

Name:	DR/Agent.MT
Entdeckt am:	15/09/2004
Art:	Dropper
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig
Statische Datei:	Ja
Dateigröße:	179.712 Bytes
MD5 Prüfsumme:	af9b414ca4e341e76d07e999aa1e0faa
VDF Version:	6.27.0.61

Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: Downloader-PE
   • Kaspersky: Trojan-Dropper.Win32.Agent.mm
   • TrendMicro: TROJ_AGENT.SZ
   • VirusBuster: Trojan.DR.Agent.RV
   • Bitdefender: Trojan.Dropper.Agent.MM

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Dateien Es wird folgende Datei erstellt:

– %TEMPDIR%\installer.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Dyfuca.DB.1

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Installer"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"

Folgende Registryschlüssel werden geändert:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Alter Wert:
   • "CurrentLevel"=%Einstellungen des Benutzers%
   • "Flags"=%Einstellungen des Benutzers%
   • "1001"=%Einstellungen des Benutzers%
   • "1004"=%Einstellungen des Benutzers%
   • "1200"=%Einstellungen des Benutzers%
   • "1201"=%Einstellungen des Benutzers%
   • "1400"=%Einstellungen des Benutzers%
   • "1402"=%Einstellungen des Benutzers%
   • "1405"=%Einstellungen des Benutzers%
   • "1406"=%Einstellungen des Benutzers%
   • "1407"=%Einstellungen des Benutzers%
   • "1601"=%Einstellungen des Benutzers%
   • "1604"=%Einstellungen des Benutzers%
   • "1605"=%Einstellungen des Benutzers%
   • "1606"=%Einstellungen des Benutzers%
   • "1607"=%Einstellungen des Benutzers%
   • "1608"=%Einstellungen des Benutzers%
   • "1609"=%Einstellungen des Benutzers%
   • "1800"=%Einstellungen des Benutzers%
   • "1802"=%Einstellungen des Benutzers%
   • "1803"=%Einstellungen des Benutzers%
   • "1804"=%Einstellungen des Benutzers%
   • "1805"=%Einstellungen des Benutzers%
   • "1A00"=%Einstellungen des Benutzers%
   • "1A02"=%Einstellungen des Benutzers%
   • "1A03"=%Einstellungen des Benutzers%
   • "1A04"=%Einstellungen des Benutzers%
   • "1A05"=%Einstellungen des Benutzers%
   • "1A06"=%Einstellungen des Benutzers%
   • "1A10"=%Einstellungen des Benutzers%
   • "1C00"=%Einstellungen des Benutzers%
   • "1E05"=%Einstellungen des Benutzers%
   • "1206"=%Einstellungen des Benutzers%
   • "2001"=%Einstellungen des Benutzers%
   • "2004"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "CurrentLevel"=dword:00000001
   • "Flags"=dword:00000001
   • "1001"=dword:00000000
   • "1004"=dword:00000000
   • "1200"=dword:00000000
   • "1201"=dword:00000000
   • "1400"=dword:00000000
   • "1402"=dword:00000000
   • "1405"=dword:00000000
   • "1406"=dword:00000000
   • "1407"=dword:00000000
   • "1601"=dword:00000000
   • "1604"=dword:00000000
   • "1605"=dword:00000000
   • "1606"=dword:00000000
   • "1607"=dword:00000000
   • "1608"=dword:00000000
   • "1609"=dword:00000000
   • "1800"=dword:00000000
   • "1802"=dword:00000000
   • "1803"=dword:00000000
   • "1804"=dword:00000000
   • "1805"=dword:00000001
   • "1A00"=dword:00000000
   • "1A02"=dword:00000000
   • "1A03"=dword:00000000
   • "1A04"=dword:00000000
   • "1A05"=dword:00000000
   • "1A06"=dword:00000000
   • "1A10"=dword:00000001
   • "1C00"=dword:00010000
   • "1E05"=dword:00020000
   • "1206"=dword:00000000
   • "2001"=dword:00000000
   • "2004"=dword:00000000

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• ASProtect 2.0

Die Beschreibung wurde erstellt von Razvan Olteanu am Donnerstag, 8. September 2005
Die Beschreibung wurde geändert von Razvan Olteanu am Mittwoch, 21. September 2005

zurück . . . .