Vollständige Virenbeschreibung

Name:	TR/Proxy.Cimuz.BG.1
Entdeckt am:	19/10/2005
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	39.281 Bytes
MD5 Prüfsumme:	F09B6F7DB845AF2C7B013D2E848DDDC2
VDF Version:	6.32.00.43

Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Trojan.Repsamo
   • Kaspersky: Trojan-Proxy.Win32.Cimuz.bg
   • TrendMicro: TROJ_REPSAMO.D
   • Bitdefender: Trojan.MZU

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Lädt Dateien herunter
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\mdms.exe

Folgende Dateien werden gelöscht:
   • C:\ccccccccccccccccoemrciermicomeriocmeiormcioermo
   • C:\cc5y456 455 4 54cccccccoemrciermicomeriocmeiormcioermo
   • C:\zzzzzzzzzzzzzzzzzzzzzzz222

Eventuell könnten folgende Dateien beschädigt werden:
   • %PROGRAM FILES%\McAfee.com\Personal Firewall\MpfUi.Dll"
   • %PROGRAM FILES%\Kaspersky Lab\Kaspersky Anti-Hacker\perfiloc.dll"
   • %PROGRAM FILES%\Tiny Firewall Pro\SnortImp.dll"
   • %PROGRAM FILES%\McAfee.com\Personal Firewall\Localized.DLL"
   • %PROGRAM FILES%\Agnitum\Outpost Firewall\Engine.dll"
   • %PROGRAM FILES%\Norton Internet Security Professional\FRERules.dll"
   • %PROGRAM FILES%\Kerio\Personal Firewall 4\kfe.dll"
   • %PROGRAM FILES%\Zone Labs\ZoneAlarm\vsruledb.dll"

Es wird folgende Datei erstellt:

– %SYSDIR%\winacpi.dll Wir verwendet um den Prozess vor dem Task Manager zu verstecken. Erkannt als: TR/Drop.Agen.bd.A.1

– Die URLs sind folgende:
   • http://ozonung.biz/**********/?%zufällige Buchstabenkombination%
   • http://votreenton.biz/**********/?%zufällige Buchstabenkombination%
   • http://troonety.biz/**********/?%zufällige Buchstabenkombination%
   • http://breenten.biz/**********/?%zufällige Buchstabenkombination%
   • http://zurrusco.com/**********/?%zufällige Buchstabenkombination%
   • http://freelife4ever.com/**********/?%zufällige Buchstabenkombination%
   • http://213.21.215.186/**********/?%zufällige Buchstabenkombination%
Diese wird lokal gespeichert unter: %unbekannt% Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

Registry Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SysMemory manager"="%SYSDIR%\mdms.exe"

Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\mdms.exe"="%SYSDIR%\mdms.exe:*:Enabled:mdm_sysag"

Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\*\shellex\ContextMenuHandlers\sysacpildap]
   • @="{5E2121EE-0300-11D4-8D3B-444553540000}"

– [HKCU\Software\mzs]
– [HKCU\Software\mzs\mdms]
– [HKCU\Software\mzs\mdms\mzu]
   • "cid"=%Hexadezimale Zahl%
   • "newhost"=dword:00000001
   • "pt"=dword:%Hexadezimale Zahl%
   • "fc"=dword:%Hexadezimale Zahl%
   • "fu"="http://213.21.215.**********/zubox429/gotcha.php"
   • "fa"=dword:00000001

– [HKCR\acpi.acpi.1]
   • @="acpi Class"

– [HKCR\acpi.acpi.1\CLSID]
   • @="{5E2121EE-0300-11D4-8D3B-444553540000}"

– [HKCR\acpi.ext]
   • @="acpi Class"

– [HKCR\acpi.ext\CLSID]
   • @="{5E2121EE-0300-11D4-8D3B-444553540000}"

– [HKCR\acpi.ext\CurVer]
   • @="acpi.acpi.1"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}]
   • @="acpi"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\InprocServer32]
   • @="%SYSDIR%\winacpi.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\ProgID]
   • @="acpi.1"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\Programmable]
– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\TypeLib]
   • @="{5E2121E1-0300-11D4-8D3B-444553540000}"

– [HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}\
   VersionIndependentProgID]
   • @="acpi"

– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}]
– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0]
   • @="SimpleExt 1.0 Type Library"

– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0\0]
– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0\0\win32]
   • @="%SYSDIR%\winacpi.dll"

– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}\1.0\HELPDIR]
   • @="%SYSDIR%\"

– [HKCR\Interface\{5E2121ED-0300-11D4-8D3B-444553540000}]
   • @="ISimpleShlExt"

– [HKCR\Interface\{5E2121ED-0300-11D4-8D3B-444553540000}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"
   •

– [HKCR\Interface\{5E2121ED-0300-11D4-8D3B-444553540000}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{5E2121ED-0300-11D4-8D3B-444553540000}\TypeLib]
   • @="{5E2121E1-0300-11D4-8D3B-444553540000}"
   • "Version"="1.0"

Prozess Beendigung Liste der Prozesse die beendet werden:
   • ehmas.exe; gcasServ.exe; gcasDtServ.exe; kpf4gui.exe; NPROTECT.EXE;
      MpfService.exe; outpost.exe; ZAPRO.EXE; amon.exe; kpf4ss.exe;
      firewall.exe; zonealarm.exe

Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.

Versteckt folgendes:
– Eigener Prozess

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Borland C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• FSG

Die Beschreibung wurde erstellt von Andrei Gherman am Montag, 24. Oktober 2005
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 28. Oktober 2005

zurück . . . .