Name:TR/Abwiz.P.1
Entdeckt am:20/03/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:45.272 Bytes
MD5 Prüfsumme:e1523d6e4eab645ae719164726342d12
VDF Version:6.34.00.75

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: PWSteal.Metafisher
   •  Mcafee: Spy-Agent.ak
   •  Kaspersky: Trojan-Spy.Win32.BZub.e
   •  TrendMicro: TROJ_ABWIZ.P
   •  Bitdefender: Trojan.Abwiz.P


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien  Folgende Dateien werden gelöscht:
   • C:\zzzzzzzzzzzzzzzzzzzzzzz222
   • C:\ccccccccccccccccoemrciermicomeriocmeiormcioermo
   • C:\cc5y456 455 4 54cccccccoemrciermicomeriocmeiormcioermo



Es werden folgende Dateien erstellt:

%SYSDIR%\info.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %gestohlene Infromation%

%SYSDIR%\form.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %gestohlene Infromation%

%SYSDIR%\msnscps.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Abwiz.P

 Registry Die Werte des folgenden Registry keys werden gelöscht:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load]
   • httpreport
   • waspopup
   • formwas



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE = %PROGRAM
      FILES%\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer



Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\CLSID\{78364D99-A640-4ddf-B91A-67EFF8373045}\InprocServer32]
   • @ = %SYSDIR%\msnscps.dll
   • ThreadingModel = apartment

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load]
   • next_install = %Hexadezimale Zahl%
   • compid = %Hex Werte%
   • httpreport = %Hex Werte%
   • waspopup = %Hex Werte%
   • formwas = %Hex Werte%
   • info_size = %Hex Werte%



Folgender Registryschlüssel wird geändert:

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Neuer Wert:
   • Enable Browser Extensions = yes

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://european-business-organization.com/**********

Dies geschieht mittels der HTTP POST Methode unter Verwendung eines PHP Scripts.


Sende Informationen über:
    • Computername
    • Erstellte Protokolldatei
    • IP Adresse
    • Aktueller Malware Status
    • Aus dem Diebstahl-Bereich gesammelte Informationen
    • Information über das Windows Betriebsystem

 Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter
– Aufgezeichnete Passwörter welche von der AutoComplete Funktion verwendet werden
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
   • %jede Webseite mit Login-Formular%

– Aufgezeichnet wird:
    • Fensterinformation
    • Anmeldeinformation

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Andrei Gherman am Dienstag, 28. März 2006
Die Beschreibung wurde geändert von Andrei Gherman am Dienstag, 28. März 2006

zurück . . . .