Name:WORM/Klone.B.131
Entdeckt am:22/12/2005
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:8.238 Bytes
MD5 Prüfsumme:58fc31a3d9e462376d1d5a56abbd5a80
VDF Version:6.33.00.55

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: Downloader-ZQ
   •  Kaspersky: Packed.Win32.Klone.b
   •  Bitdefender: GenPack:Trojan.Downloader.Galapoper.A


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt Dateien herunter
   • Lädt eine schädliche Dateien herunter
   • Änderung an der Registry

 Dateien Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://69.50.171.171/images/**********
Diese wird lokal gespeichert unter: %SYSDIR%\paradise.raw.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Packed.Klone.b.1


– Die URL ist folgende:
   • http://69.50.171.171/**********
Diese wird lokal gespeichert unter: %SYSDIR%\svcp.csv

– Die URL ist folgende:
   • http://69.50.171.171/**********
Diese wird lokal gespeichert unter: %SYSDIR%\winsub.xml

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKEY_CURRENT_USER]
   • "WindowsSubVersion"=dword:%Hex Werte%

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://69.50.171.171/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • gagagaradio

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Daniel Constantin am Dienstag, 27. Dezember 2005
Die Beschreibung wurde geändert von Daniel Constantin am Mittwoch, 1. März 2006

zurück . . . .