Name:TR/Drop.Multid.BO.2
Entdeckt am:16/09/2005
Art:Trojan
Nebenart:Dropper
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:22.009 Bytes
MD5 Prüfsumme:a65177d85f259563e57b84fae106dbe0
VDF Version:6.31.1.224

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: Proxy-FBSR
   •  Kaspersky: Trojan-Proxy.Win32.Ranky.z
   •  VirusBuster: Trojan.PR.Ranck.GK
   •  Bitdefender: Trojan.Proxy.Ranky.Z


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Sxcasdwqas"="%Verzeichnis in dem die Malware ausgeführt wurde%\feelike.exe"

 Hintertür Die folgenden Ports werden geöffnet:

%ausgeführte Datei% an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
%ausgeführte Datei% an einem zufälligen UDP port


Kontaktiert Server:
Alle der folgenden:
   • rogerr.homeunix.net/b.php
   • vcdf.hopto.org/b.php
   • raharah.bounceme.net/b.php
   • a70.shacknet.nu/b.php
   • roger.bounceme.net/b.php

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.
Die Antwort der Servers wird in folgende Datei geschrieben: %Verzeichnis in dem die Malware ausgeführt wurde%\Wooked


Sende Informationen über:
    • Geöffneter Port

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • Sdwqsdghq

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • MEW 11 1.2

Die Beschreibung wurde erstellt von Victor Tone am Sonntag, 18. September 2005
Die Beschreibung wurde geändert von Victor Tone am Freitag, 23. September 2005

zurück . . . .