Name:TR/Proxy.Lager.AQ.9
Entdeckt am:07/04/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:51.603 Bytes
MD5 Prüfsumme:4c5251efd0bae37655d169065206519f
VDF Version:6.34.00.165

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Packed.Win32.Tibs
   •  VirusBuster: virus Trojan.PR.Lager.Gen!Pac1


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt eine Datei
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %SYSDIR%\zlbw.dll

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %SYSDIR%\log.txt

%SYSDIR%\taskdir.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Proxy.Lager.AQ.1




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://216.255.179.238/new/cntr/bin/**********
Diese wird lokal gespeichert unter: %SYSDIR%\taskdir~.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKEY_CURRENT_USER]
   • "ColorTable19"=dword:%Hexadezimale Zahl%
   • "ColorTable20"=dword:%Hexadezimale Zahl%

 Hintertür Kontaktiert Server:
Alle der folgenden:
   • 216.255.179.238/new/cntr/**********
   • 69.50.161.106/n/**********
   • 69.50.184.194/n/**********
   • 216.255.179.238/new/cls/**********
   • 81.177.3.175/n/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels der HTTP GET und POST Methode unter Verwendung eines PHP Scripts.


Sende Informationen über:
    • Computername
    • Aktueller Malware Status


Möglichkeiten der Fernkontrolle:
    • Emails verschicken

 Injektion –  Es injiziert folgende Datei in einen Prozess: taskdir.dll

    Prozessname:
   • %jeder neu gestartete Prozess nachdem die Malware aktiv im Speicher
      ist%


 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • _alanchum

 Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.


Versteckt folgendes:

– Dateien welche folgende Zeichenkette in ihrem Dateinamen enthalten:
   • taskdir

– Prozesse welche folgende Zeichenkette im Prozessnamen enthalten:
   • taskdir

– Der folgende Registrywert:
   • taskdir


Eingesetzte Methode:
    • Unsichtbar von Windows API

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Daniel Constantin am Freitag, 7. April 2006
Die Beschreibung wurde geändert von Daniel Constantin am Mittwoch, 12. April 2006

zurück . . . .