Name:TR/Dldr.CWS.h.1.B
Entdeckt am:19/09/2005
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:13.824 Bytes
MD5 Prüfsumme:3bb19c92f33d0b89cf823bacea72efa9
VDF Version:6.32.0.38

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Downloader.Win32.CWS.h
   •  TrendMicro: TROJ_DLOADER.ABQ


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\inetdata\services.exe



Bereiche werden einer Datei hinzugefügt.
– An: %WINDIR%\system.ini Mit folgendem Inhalt:
   • load=%WINDIR%\inetdata\services.exe
     




Es wird folgende Datei erstellt:

%WINDIR%\inetdata\tmp



Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • traff-**********.com/ef.exe
Diese wird lokal gespeichert unter: %WINDIR%\ef.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.CWS.C.2


– Die URL ist folgende:
   • traff-**********.com/killer.exe
Diese wird lokal gespeichert unter: %WINDIR%\skiller.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.CWS.A


– Die URL ist folgende:
   • traff-**********.com/socks5.exe
Diese wird lokal gespeichert unter: %WINDIR%\winsocks5.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Proxy.Small.bt.3


– Die URL ist folgende:
   • **********.com/mm.exe
Diese wird lokal gespeichert unter: %WINDIR%\mm1.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.CWS.h.2


– Die URL ist folgende:
   • traff-**********.com/gallerys/xpsystem/3.00.09.dll
Diese wird lokal gespeichert unter: %WINDIR%\inetdata\3.00.09.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Delf.BV.1

 Registry Die folgenden Registryschlüssel werden in einer Endlosschleife fortlaufen hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\winlogon.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\winlogon.exe"



Es wird ein browser helper object (BHO) registriert indem folgender key hinzugefügt wird:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
   • @=""



Folgende Registryschlüssel werden hinzugefügt:

– HKCU\Software\Microsoft\Internet Explorer\Main
   • "Enable Browser Extensions"="yes"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
   • @="HBO Class"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\InprocServer32
   • @="%WINDIR%\inetdata\3.00.09.dll"
   • "ThreadingModel"="Apartment"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\ProgID
   • @="Replace.HBO.1"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\Programmable
   • @=""

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\TypeLib
   • @="{516A36EA-AFE2-4965-A492-B198B7F7B018}"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\
   VersionIndependentProgID
   • @="Replace.HBO"

– HKCR\Replace.HBO
   • @="HBO Class"

– HKCR\Replace.HBO\CLSID
   • @="{5321E378-FFAD-4999-8C62-03CA8155F0B3}"

– HKCR\Replace.HBO\CurVer
   • @="Replace.HBO.1"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="%WINDIR%\inetdata\winlogon.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
   • "state"=%zufällige Buchstabenkombination%

 Hintertür Kontaktiert Server:
Alle der folgenden:
   • traff-**********.com/affiliate/interface.php?
   • traff-**********.com/affiliate/counter.php?

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.


Sende Informationen über:
    • Plattform ID
    • Lokale Aktivität des Benutzers

 Diverses Mutex:
Es werden folgende Mutexe erzeugt:
   • userenv: machine policy mutex
   • userenv: user policy mutex

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.

Die Beschreibung wurde erstellt von Irina Boldea am Montag, 19. September 2005
Die Beschreibung wurde geändert von Irina Boldea am Dienstag, 27. September 2005

zurück . . . .