Vollständige Virenbeschreibung

Name:	TR/Spy.Bancodor.AB
Entdeckt am:	12/04/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	41.472 Bytes
MD5 Prüfsumme:	62417a81023a5ae1dfce61709824d49b
VDF Version:	6.34.00.176

Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Backdoor.Win32.Bancodor.ab
   • TrendMicro: TSPY_AGENT.BRF
   • Bitdefender: Trojan.Spy.Bancodor.A

Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Erstellt schädliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %PROGRAM FILES%\Common Files\System\lsass.exe

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • C:\bkup.reg
   • %SYSDIR%\divx.ini
   • %SYSDIR%\%zufällige Buchstabenkombination%.tmp.log

– %SYSDIR%\divx.ini Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %gestohlene Infromation%

– %SYSDIR%\winaupd.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Bancodo.AB.2

– %SYSDIR%\xvid.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Bancodo.AB.4

– %SYSDIR%\nUn.b Enthält von der Malware genutzte Parameter.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • system = %PROGRAM FILES%\Common Files\system\lsass.exe

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
   • [HKCU\Software\Microsoft\Internet Explorer\TypedURLs]
   • [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]

Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %SYSDIR%\userinit.exe = %SYSDIR%\userinit.exe:*:Enabled:Userinit

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows]
   Neuer Wert:
   • System =
   • Shell = Explorer.exe

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Alter Wert:
   • Start = %Einstellungen des Benutzers%
   Neuer Wert:
   • Start = 2

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
   Alter Wert:
   • ServiceDll = %SYSDIR%\wuauserv.dll
   Neuer Wert:
   • ServiceDll = %SYSDIR%\winaupd.dll

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • SFCDisable = 0
   Neuer Wert:
   • SFCDisable = ffffff9d
   • SFCScan = 0

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Internet Explorer]
   Neuer Wert:
   • SearchURL =

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Neuer Wert:
   • Default_Search_URL =
   • Search Page = www.microsoft.com/isapi/redir.dllprd = ie&ar = iesearch
   • Search Bar =
   • SearchURL =
   • Window_Placement =

– [HKCU\Software\Microsoft\Internet Explorer\Search]
   Neuer Wert:
   • SearchAssistant =

– [HKCU\Software\Micrsoft\Internet Explorer\Toolbar\WebBrowser]
   Neuer Wert:
   • ITBarLayout =

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search]
   Neuer Wert:
   • SearchAssistant = ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
   • CustomizeSearch = ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
   Neuer Wert:
   • NavigationFailure = res://shdoclc.dll/navcancl.htm
   • DesktopItemNavigationFailure = res://shdoclc.dll/navcancl.htm
   • NavigationCanceled = res://shdoclc.dll/navcancl.htm
   • OfflineInformation = res://shdoclc.dll/offcancl.htm
   • blank = res://mshtml.dll/blank.htm
   • PostNotCached = res://mshtml.dll/repost.htm
   • mozilla = res://mshtml.dll/about.moz

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   Neuer Wert:
   • Default_Page_URL = about:blank
   • Default_Search_URL = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Search Page = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Local Page =
   • Start Page = about:blank

– [HKU\.Default\Software\Microsoft\Internet Explorer]
   Neuer Wert:
   • SearchURL =

– [HKU\.Default\Software\Microsoft\Internet Explorer\Main]
   Neuer Wert:
   • Search Page = www.microsoft.com/isapi/redir.dll?prd = ie&ar = iesearch
   • Default_Search_URL =
   • Search Bar =
   • Local Page =
   • Start Page =

– [HKU\.Default\Software\Microsoft\Internet Explorer\Search]
   Neuer Wert:
   • SearchAssistant =

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Neuer Wert:
   • Check_Associations = yes

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Neuer Wert:
   • NoSaveSettings = 0

– [HKCU\Software\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Policies\Microsoft\
   Internet Explorer\Control Panel]
   Neuer Wert:
   • Check_If_Default = 0

– [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   Neuer Wert:
   • Check_If_Default = 0

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • SeparateProcess = 0

Prozess Beendigung Liste der Prozesse die beendet werden:
   • WINLDRA.EXE; NETSCAPE.EXE; OPERA.EXE; FIREFOX.EXE; MOZILLA.EXE;
      M00.EXE; WINTBPX.EXE; SWCHOST.EXE; SVOHOST.EXE; SVC.EXE; WINSOCK.EXE;
      SPOOLS.EXE; KERNELS32.EXE; mwfibpx.exe; nod32kui.exe; mcupdate.exe;
      mw1hel~1.exe; realsched.exe; tbon.exe; pucxyloo.exe; mouse32a.exe;
      winupdates.exe; backweb-; qttask.exe; mediagateway.exe; sox1.exe;
      shstat.exe; SpyAxe.exe; xcommsvr.exe; rwnt.exe; shost.exe;
      MouseElf.exe; aimexdll.exe; batserv2.exe; Elogerr.exe; sysc.exe;
      stopads.exe; istsvc.exe; uwfx5.exe; dazzler.exe; secure.exe;
      spoolsrv32.exe; ibm00001.exe; kernels64.exe; driver64.exe;
      paytime.exe; type32.exe; mediapipe.exe; adduz32.exe; itbill.exe;
      spysheriff.exe; apifl.exe; drsmartloadb.exe; gcasserv.exe; mpp2pl.exe;
      unspypc.exe; realsched.exe; isstart.exe; logitray.exe; winstall.exe;
      statusclient.exe; mpcsvc.exe; backorif.exe; NopeZ.exe; usrprmpt.exe;
      netnw.exe; hpbpsttp.exe; nvarem.exe; apifl.exe; UnSpyPC.exe

Hintertür Kontaktiert Server:
Den folgenden:
   • http://www.southsea.cc/news/**********

Hierdurch können Informationen gesendet werden. Außerdem wird die Verbindung regelmäßig wiederholt. Dies geschieht mittels der HTTP POST Methode unter Verwendung eines PHP Scripts.
Die Antwort der Servers wird in folgende Datei geschrieben: %SYSDIR%\xvid.ini

Sende Informationen über:
    • Versteckte Passwörter
    • Erstellte Protokolldatei
    • Umgebungsvariablen
    • Aktueller Malware Status
    • Informationen über laufende Prozesse
    • Aus dem Diebstahl-Bereich gesammelte Informationen

Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
   • %jede Webseite mit Login-Formular%

– Aufgezeichnet wird:
    • Fensterinformation
    • Anmeldeinformation

Injektion – Es injiziert folgende Datei in einen Prozess: %SYSDIR%\xvid.dll

    Prozessname:
   • %jeder neu gestartete Prozess nachdem die Malware aktiv im Speicher
      ist%

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• _Toolbar_Class_32

Datei modifizierung:
Um die Windows File Protection (WFP) auszuschalten hat es die Fähigkeit die Datei sfc_os.dll an Offset 0000E2B8 zu modifizieren. Mit WFP wird beabsichtigt einige der bekannten Probleme von DLL Inkonsistenz zu umgehen.

Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.

Versteckt folgendes:
– Eigener Prozess

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Die Beschreibung wurde erstellt von Andrei Gherman am Donnerstag, 13. April 2006
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 13. April 2006

zurück . . . .

PC Schutz

Gratis-Produkte

Beliebteste Produkte

Alle Produkte

Bundle-Lösungen

Arbeitsplatzrechner

Server

Bundle-Lösungen

Mail Gateways

Web Gateways

Kollaborationsplattformen

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools