Name:TR/Dldr.Krepper.G.2
Entdeckt am:19/09/2005
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:26.624 Bytes
MD5 Prüfsumme:105b31a167a5d9751ac15c3032394513
VDF Version:6.26.0.8

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: MultiDropper-IM
   •  Kaspersky: Trojan-Downloader.Win32.Krepper.g
   •  TrendMicro: TROJ_KREPPER.G
   •  Sophos: Troj/Krepper-G
   •  Grisoft: Downloader.Krepper.I
   •  VirusBuster: Trojan.DL.Krepper.H
   •  Bitdefender: Trojan.Downloader.Kreeper.G


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\inetdata\services.exe



Bereiche werden einer Datei hinzugefügt.
– An: %WINDIR%\System.ini Mit folgendem Inhalt:
   • load=%WINDIR%\inetdata\winlogon.exe




Es wird folgende Datei erstellt:

%WINDIR%\inetdata\version.txt



Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • **********.com/gallerys/xpsystem/3.00.36.exe
Diese wird lokal gespeichert unter: %WINDIR%\inetdata\winlogon.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.CWS.h.1.B


– Die URL ist folgende:
   • traff-**********.com/gallerys/xpsystem/3.00.09.dll
Diese wird lokal gespeichert unter: %WINDIR%\inetdata\3.00.09.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Delf.BV.1

 Registry Die folgenden Registryschlüssel werden in einer Endlosschleife fortlaufen hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\services.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\services.exe"



Es wird ein browser helper object (BHO) registriert indem folgender key hinzugefügt wird:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
   • @=""



Folgende Registryschlüssel werden hinzugefügt:

– HKCU\Software\Microsoft\Internet Explorer\Main
   • "Enable Browser Extensions"="yes"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="%WINDIR%\inetdata\services.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
   • "statexpsystem"=dword:00000000
   • "estatexpsystem"=dword:00000000
   • "state"=%zufällige Buchstabenkombination%

 Hintertür Kontaktiert Server:
Den folgenden:
   • **********.com/gallerys/xpsystem/version.txt.php?

Hierdurch werden Hintertürfunktionen bereitgestellt. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.
Die Antwort der Servers wird in folgende Datei geschrieben: %WINDIR%\inetdata\version.txt


Möglichkeiten der Fernkontrolle:
    • Datei herunterladen

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgenden Laufzeitpackern gepackt:
   • PE_Patch.PECompact
   • PecBundle
   • PECompact

Die Beschreibung wurde erstellt von Irina Boldea am Montag, 19. September 2005
Die Beschreibung wurde geändert von Irina Boldea am Dienstag, 27. September 2005

zurück . . . .