Name:TR/KillAV.FT
Entdeckt am:27/09/2005
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:98.304 Bytes
MD5 Prüfsumme:e7ea0b0fac0d30110346912c02f14f50
VDF Version:6.32.0.45

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan.Win32.KillAV.ft
   •  VirusBuster: Trojan.KillAV.CE
   •  Bitdefender: Trojan.Win32.KillAV.FT


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Lädt Dateien herunter
   • Setzt Sicherheitseinstellungen herunter

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %ALLUSERSPROFILE%\start menu\programs\startup\office.exe



Folgende Dateien werden kopiert:
    •  %Verzeichnis in dem die Malware ausgeführt wurde%\data.dat nach %TEMPDIR%\setup.msi
    •  %Verzeichnis in dem die Malware ausgeführt wurde%\setup.dat nach %TEMPDIR%\setup.exe
    •  %Verzeichnis in dem die Malware ausgeführt wurde%\setup.ini nach %TEMPDIR%\setup.ini



Folgende Dateien werden gelöscht:
   • %TEMPDIR%\setup.msi
   • %TEMPDIR%\setup.exe
   • %TEMPDIR%\setup.ini
   • C:\temp\ftp.txt
   • %WINDIR%\up.bat
   • C:\temp\un.reg



Es werden folgende Dateien erstellt:

%WINDIR%\up.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.
– C:\temp\ftp.txt



Es wird versucht die folgenden Dateien herunterzuladen:

– Die URLs sind folgende:
   • 16286.**********com/update.exe
   • 19427.**********com/update.exe
   • 20984.**********com/update.exe
   • 2441.**********com/update.exe
   • 31615.**********com/update.exe
   • 33895.**********com/update.exe
   • 3556.**********com/update.exe
   • 40293.**********com/update.exe
   • 4368.**********com/update.exe
   • 44628.**********com/update.exe
   • 45612.**********com/update.exe
   • 54668.**********com/update.exe
   • 55846.**********com/update.exe
   • 58275.**********com/update.exe
   • 58949.**********com/update.exe
   • 6118.**********com/update.exe
   • 62708.**********com/update.exe
   • 67414.**********com/update.exe
   • 69655.**********com/update.exe
   • 70411.**********com/update.exe
   • 72170.**********com/update.exe
   • 75858.**********com/update.exe
   • 78401.**********com/update.exe
   • 82935.**********com/update.exe
   • 83859.**********com/update.exe
   • 84483.**********com/update.exe
   • 88198.**********com/update.exe
   • 90926.**********com/update.exe
   • 95304.**********com/update.exe
   • 99956.**********com/update.exe
   • bzeva.**********org/update.exe
   • jzcva.**********org/update.exe
   • updates.**********org/update.exe
   • zcava.**********org/update.exe
Diese wird lokal gespeichert unter: C:\temp\update.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URLs sind folgende:
   • 16286.**********com/un.reg
   • 19427.**********com/un.reg
   • 20984.**********com/un.reg
   • 2441.**********com/un.reg
   • 31615.**********com/un.reg
   • 33895.**********com/un.reg
   • 3556.**********com/un.reg
   • 40293.**********com/un.reg
   • 4368.**********com/un.reg
   • 44628.**********com/un.reg
   • 45612.**********com/un.reg
   • 54668.**********com/un.reg
   • 55846.**********com/un.reg
   • 58275.**********com/un.reg
   • 58949.**********com/un.reg
   • 6118.**********com/un.reg
   • 62708.**********com/un.reg
   • 67414.**********com/un.reg
   • 69655.**********com/un.reg
   • 70411.**********com/un.reg
   • 72170.**********com/un.reg
   • 75858.**********com/un.reg
   • 78401.**********com/un.reg
   • 82935.**********com/un.reg
   • 83859.**********com/un.reg
   • 84483.**********com/un.reg
   • 88198.**********com/un.reg
   • 90926.**********com/un.reg
   • 95304.**********com/un.reg
   • 99956.**********com/un.reg
   • bzeva.**********org/un.reg
   • jzcva.**********org/un.reg
   • updates.**********org/un.reg
   • zcava.**********org/un.reg
Diese wird lokal gespeichert unter: C:\temp\un.reg Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Prozess Beendigung Liste der Prozesse die beendet werden:
   • %PROGRAM FILES%\Zone Labs\ZoneAlarm\zlclient.exe
   • McDetect.exe
   • McTskshd.exe
   • mcupdmgr.exe
   • SpySweeper.exe


Liste der Dienste die beendet werden:
   • Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
   • McAfee Personal Firewall Service
   • mcshield
   • Norton AntiVirus Auto Protect Service
   • norton antivirus firewall monitor service
   • Security Center
   • Sygate Personal Firewall
   • Webroot Spy Sweeper Engine
   • Windows Firewall/Internet Connection Sharing (ICS)

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Irina Boldea am Dienstag, 27. September 2005
Die Beschreibung wurde geändert von Irina Boldea am Freitag, 30. September 2005

zurück . . . .