Name:TR/Dldr.Harnig.BD.1
Entdeckt am:10/04/2006
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:5.637 Bytes
MD5 Prüfsumme:9aa32c86cd9a164e4bf1b3eebf187c73
VDF Version:6.34.00.165

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Downloader.Win32.Harnig.bd
   •  TrendMicro: TROJ_DLOADER.COH
   •  Bitdefender: Trojan.Downloader.Small.YU


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt Dateien herunter
   • Lädt schädliche Dateien herunter
   • Setzt Sicherheitseinstellungen herunter

 Dateien Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Diese wird lokal gespeichert unter: c:\uniq

– Die URL ist folgende:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Diese wird lokal gespeichert unter: c:\kl1.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Sinowal.H


– Die URL ist folgende:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Diese wird lokal gespeichert unter: c:\tool2.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: ADSPY/Hoax.Renos.AG


– Die URL ist folgende:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Diese wird lokal gespeichert unter: c:\country.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Killav.DB.2


– Die URL ist folgende:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Diese wird lokal gespeichert unter: %PROGRAM FILES%\secure32.html

– Die URL ist folgende:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Diese wird lokal gespeichert unter: %PROGRAM FILES%\paytime.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/StartPage.adi.7


– Die URL ist folgende:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Diese wird lokal gespeichert unter: c:\toolbar.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Killav.DB.2


– Die URL ist folgende:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Diese wird lokal gespeichert unter: c:\tool1.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Proxy.Small.BO.Dldr


– Die URL ist folgende:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Diese wird lokal gespeichert unter: c:\tool3.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Tiny.AP.3


– Die URL ist folgende:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Diese wird lokal gespeichert unter: c:\tool4.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Proxy.Small.BO.18


– Die URL ist folgende:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Diese wird lokal gespeichert unter: c:\tool5.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Click.Small.KR


– Die URL ist folgende:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Diese wird lokal gespeichert unter: c:\ms1.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.S.CJG.325.D


– Die URL ist folgende:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Diese wird lokal gespeichert unter: %WINDIR%\Hosts

– Die URL ist folgende:
   • http://traffdollars.biz/progs_exe/kjazw/**********
Diese wird lokal gespeichert unter: c:\uniq

 Registry  Alle Werte des folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • [HKLM\CurrentControlSet\Services\SharedAccess]

 Prozess Beendigung  Folgender Dienst wird beendet:
   • Windows Firewall/Internet Connection Sharing (ICS)

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • FSG

Die Beschreibung wurde erstellt von Andrei Ivanes am Mittwoch, 12. April 2006
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 13. April 2006

zurück . . . .