Vollständige Virenbeschreibung

Name:	TR/PSW.Lmir.aae.3
Entdeckt am:	08/07/2005
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	19.929 Bytes
MD5 Prüfsumme:	0247bbc64162b9981ad008a59891d3da
VDF Version:	6.31.0.168

Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Backdoor.Trojan
   • Kaspersky: Trojan-PSW.Win32.Lmir.aae
   • Bitdefender: Trojan.Pws.Lmir.AAE

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Änderung an der Registry

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\yklgvh.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es werden folgende Dateien erstellt:

– %WINDIR%\SchedLgU.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • "Task Scheduler Service"
      Started at date time
     "Task Scheduler Service"
      Exited at date time
     "Task Scheduler Service"
      Started at date time
     "Task Scheduler Service"
      Exited at date time

     [ ***** Most recent entry is above this line ***** ]



– %SYSDIR%\Yklgvh.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSWTR.PSW.aae.2

– %SYSDIR%\drivers\yklgvh.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/PcClient.K.1

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • kissyou8**********.com/pcshare.txt
Diese wird lokal gespeichert unter: %temporary internet files%\pcshare.txt Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

– Die URL ist folgende:
   • pcshare.txt
Diese wird lokal gespeichert unter: %temporary internet files%\dlfile.asp Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\Yklgvh]
   • "Type"=dword:00000001
   • "Start"=dword:00000003
   • "ErrorControl"=dword:00000001
   • "DisplayName"="Yklgvh"

– [HKLM\SYSTEM\CurrentControlSet\Services\Yklgvh\Enum]
   • "0"="Root\\LEGACY_YKLGVH\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YKLGVH]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YKLGVH\0000]
   • "Service"="Yklgvh"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Yklgvh"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YKLGVH\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Yklgvh"

– [HKLM\SYSTEM\CurrentControlSet\Services\Yklgvh\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

– [HKLM\SYSTEM\CurrentControlSet\Services\Yklgvh]
   • "ImagePath"=\??\%SYSDIR%\drivers\Yklgvh.sys

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • "ImagePath"=%SYSDIR%\Yklgvh.exe -k netsvcs

Injektion – Es injiziert sich in einen Prozess.

Prozessname:
• Internet Explorer

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Sergiu Oprea am Mittwoch, 3. August 2005
Die Beschreibung wurde geändert von Sergiu Oprea am Freitag, 30. September 2005

zurück . . . .