Name:TR/PSW.Raven.A
Entdeckt am:10/03/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:31.913 Bytes
MD5 Prüfsumme:8b0908665655c086ae2277f913ec9a86
VDF Version:6.34.00.26

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-PSW.Win32.Raven.a


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\msoff.exe



Es werden folgende Dateien erstellt:

– %ALLUSERSPROFILE%\Documents\Settings\raven2BGps Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %gestohlene Infromation%

– %ALLUSERSPROFILE%\Documents\Settings\raven2BGlog_temp%zufällige Buchstabenkombination% Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %gestohlene Infromation%

%TEMPDIR%\jav2.tmp Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %ALLUSERSPROFILE%\Documents\Settings\desktop.ini Enthält von der Malware genutzte Parameter.
– %ALLUSERSPROFILE%\raven2BG_%zufällige Buchstabenkombination%dat Diese Datei dient als Flag für eine interne Routine.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Office = %SYSDIR%\msoff.exe

 Hintertür Der folgende Port wird geöffnet:

– svchost.exe an einem zufälligen TCP port um einen Socks5 Proxy Server zur Verfügung zu stellen.


Kontaktiert Server:
Alle der folgenden:
   • http://downboost.com/m/**********
   • ftp://dust.downboost.com

Hierdurch können Informationen gesendet werden.

Sende Informationen über:
    • Erstellte Protokolldatei
    • Aktueller Benutzer
    • IP Adresse
    • Geöffneter Port
    • Information über das Windows Betriebsystem


Möglichkeiten der Fernkontrolle:
    • Starte Tastaturüberwachung

 Diebstahl Es wird versucht folgende Information zu klauen:
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Nachdem eine Webseite besucht wurde dessen URL folgenden Substing enthält, wird eine Protokollfunktion gestartet:
   • %übergebener Parameter%

– Aufgezeichnet wird:
    • Fensterinformation
    • Anmeldeinformation

 Injektion –  Es injiziert folgende Datei in einen Prozess: %TEMPDIR%\jav2.tmp

    Alle der folgenden Prozesse:
   • svchost.exe
   • lsass.exe


 Diverses Mutex:
Es werden folgende Mutexe erzeugt:
   • raven2BG_mutex_file_fake
   • raven2BG_mutex_file_vk
   • raven2BG_mutex_file_body
   • raven2BG_mutex_file_afil
   • raven2BG_event_upd_fake
   • raven2BG_event_upd_vk
   • raven2BG_event_upd_body
   • raven2BG_event_upd_afil
   • raven2BG_event_upd_packs
   • raven2BG_event_kw

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • FSG 2.0

Die Beschreibung wurde erstellt von Andrei Gherman am Mittwoch, 15. März 2006
Die Beschreibung wurde geändert von Andrei Gherman am Mittwoch, 15. März 2006

zurück . . . .