Name:TR/Swizzor.A
Entdeckt am:12/04/2006
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:202.254 Bytes
MD5 Prüfsumme:ac2a475fc290f63d98cced1dcebe0A02
VDF Version:6.34.00.174

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Downloader.Win32.Swizzor.co
   •  TrendMicro: TROJ_SWIZZOR.LH
   •  F-Secure: Trojan-Downloader.Win32.Swizzor.co
   •  Eset: Win32/TrojanDownloader.Swizzor


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Transdeadsoft]
   • internet option = %Hex Werte%

– [HKCU\Software\Transdeadsoft\Cdrom Comp Body]

 Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://ayb.dns-look-up.com/**********
   • http://%zufällige Buchstabenkombination%.upd.dns-look-up.com/upd/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Sende Informationen über:
    • Aktueller Malware Status
    • Lokale Aktivität des Benutzers
    • Information über das Windows Betriebsystem


Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Datei ausführen
    • Besuch einer Webseite

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • iexplore.exe


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Gherman am Mittwoch, 12. April 2006
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 20. April 2006

zurück . . . .