Name:Joke/Renos.W
Entdeckt am:31/10/2005
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:28.160 Bytes
MD5 Prüfsumme:fa7582def8348c22b69a4bb360eff64b
VDF Version:6.32.00.117

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: Downloader-AFH
   •  Kaspersky: not-virus:Hoax.Win32.Renos.s


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt eine Datei
   • Änderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • c:\winstall.exe



Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • C:\Program Files\SpySheriff\base.avd; C:\Program
      Files\SpySheriff\base001.avd; C:\Program Files\SpySheriff\base002.avd;
      C:\Program Files\SpySheriff\found.wav; C:\Program
      Files\SpySheriff\heur000.dll; C:\Program Files\SpySheriff\heur001.dll;
      C:\Program Files\SpySheriff\heur002.dll; C:\Program
      Files\SpySheriff\heur003.dll; C:\Program Files\SpySheriff\IESecurity.dll;
      C:\Program Files\SpySheriff\notfound.wav; C:\Program
      Files\SpySheriff\ProcMon.dll; C:\Program Files\SpySheriff\removed.wav;
      C:\Program Files\SpySheriff\SpySheriff.exe; C:\Program
      Files\SpySheriff\Uninstall.exe; C:\Program Files\SpySheriff\SpySheriff.dvm

– Es wird folgende Archivdatei mit der Kopie der Malware erstellt:
   • %PROGRAM FILES%\asdfasdfasdfasdfasdfasdfasdfasdf

%WINDIR%\desktop.html



Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • www.spy**********.com/trial.php?rest=0&ver=14087464&a=00000088
Diese wird lokal gespeichert unter: %HOME%\Application Data\Install.dat Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows installer"="c:\winstall.exe"



Die Werte der folgenden Registry keys werden gelöscht:

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • pro

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • NoDesktop



Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • [HKCU\SOFTWARE\Install]
   • [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components]
   • [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0]



Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components]
   • "DeskHtmlVersion"=dword:00000110
   • "DeskHtmlMinorVersion"=dword:00000005
   • "Settings"=dword:00000001
   • "GeneralFlags"=dword:00000000

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0]
   • "Source"="About:Home"
   • "SubscribedURL"="About:Home"
   • "FriendlyName"="My Current Home Page"
   • "Flags"=dword:00000002
   • "Position"=hex:%Hex Werte%
   • "CurrentState"=dword:40000004
   • "OriginalStateInfo"=hex:%Hex Werte%
   • "RestoredStateInfo"=hex::%Hex Werte%



Folgende Registryschlüssel werden geändert:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Alter Wert:
   • "Wallpaper"="%Einstellungen des Benutzers%"
   Neuer Wert:
   • "Wallpaper"="%WINDIR%\desktop.html"

– [HKCU\Control Panel\Desktop]
   Alter Wert:
   • "Pattern"="%Einstellungen des Benutzers%"
   Neuer Wert:
   • "Pattern"=""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Alter Wert:
   • "NoDriveTypeAutoRun"=dword:%Einstellungen des Benutzers%
     "NoActiveDesktop"=dword:%Einstellungen des Benutzers%
     "ClassicShell"=dword:%Einstellungen des Benutzers%
     "ForceActiveDesktopOn"=dword:%Einstellungen des Benutzers%
   Neuer Wert:
   • "NoDriveTypeAutoRun"=dword:00000091
     "NoActiveDesktop"=dword:00000000
     "ClassicShell"=dword:00000000
     "ForceActiveDesktopOn"=dword:00000001

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\General]
   Alter Wert:
   • "WallpaperFileTime"=hex:%Einstellungen des Benutzers%
     "WallpaperLocalFileTime"=hex:%Einstellungen des Benutzers%
     "TileWallpaper"="%Einstellungen des Benutzers%"
     "WallpaperStyle"="%Einstellungen des Benutzers%"
     "ComponentsPositioned"=dword:%Einstellungen des Benutzers%
   Neuer Wert:
   • "WallpaperFileTime"=hex:be,a1,a0,ff,22,de,c5,01
     "WallpaperLocalFileTime"=hex:be,71,29,c3,33,de,c5,01
     "TileWallpaper"="0"
     "WallpaperStyle"="2"
     "ComponentsPositioned"=dword:00000002

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   Alter Wert:
   • "NoChangingWallpaper"=dword:%Einstellungen des Benutzers%
     "NoComponents"=dword:%Einstellungen des Benutzers%
     "NoAddingComponents"=dword:%Einstellungen des Benutzers%
     "NoDeletingComponents"=dword:%Einstellungen des Benutzers%
     "NoEditingComponents"=dword:%Einstellungen des Benutzers%
     "NoHTMLWallPaper"=dword:%Einstellungen des Benutzers%
   Neuer Wert:
   • "NoChangingWallpaper"=dword:00000000
     "NoComponents"=dword:00000000
     "NoAddingComponents"=dword:00000000
     "NoDeletingComponents"=dword:00000000
     "NoEditingComponents"=dword:00000000
     "NoHTMLWallPaper"=dword:00000000

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Iulia Diaconescu am Dienstag, 1. November 2005
Die Beschreibung wurde geändert von Iulia Diaconescu am Montag, 12. Dezember 2005

zurück . . . .