Vollständige Virenbeschreibung

Name:	TR/Spy.ProAg.21.3.A
Entdeckt am:	19/09/2005
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	246.349 Bytes
MD5 Prüfsumme:	85fa8947452cfcc3da30d54f888fbf10
VDF Version:	6.32.00.16

Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Spy.Win32.ProAgent.21
   • Sophos: Troj/Progent-P
   • Grisoft: PSW.Agent.NR
   • VirusBuster: trojan TrojanSpy.ProAgent.I
   • Bitdefender: Trojan.Spy.Proagent.21

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Erstellt Dateien
   • Erstellt schädliche Dateien
   • Verfügt über eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen

Nach Aktivierung wird folgende Information angezeigt:

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\qservice.exe

Eine Datei wird überschreiben.
– %SYSDIR%\drivers\symredrv.sys

Mit folgendem Inhalt:
   • No more Mail Scanning =)
     Powered by ProAgent

Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %TEMPDIR%\htmpl.htm

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %SYSDIR%\agnt_mps.exe
   • %SYSDIR%\agnt_fps.exe
   • %SYSDIR%\agnt_msn.exe
   • %SYSDIR%\agnt_pnc.exe
   • %SYSDIR%\agnt_mps.dat
   • %SYSDIR%\agnt_fps.dat
   • %SYSDIR%\agnt_msn.dat
   • %SYSDIR%\_pnc.dat

– %SYSDIR%\drivers\KeenSense.sys Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • Hi criminal =)

– %SYSDIR%\drivers\ksdevice.sys Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • Hi criminal =)

– %WINDIR%\kurlmon.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.ProAgent.21.1

– %WINDIR%\services.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.ProAgent.21.2

– %SYSDIR%\HookApi.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.ProAgent.21

– %WINDIR%\k_urlmon.dll Diese Datei enthält gesammelte Tastatureingaben.

Registry Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "qservices"="%WINDIR%\qservice.exe"

Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\Windows]
   • "qservices" = "qservices"
   • "pVer" = dword:%Hexadezimale Zahl%
   • "pPid" = dword:%Hexadezimale Zahl%

Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:

Von:
Der Absender der Email ist folgender:
   • "ProAgent v2.1.0" <ProAgent@Yahoo.com>

An:
Der Empfänger der Email ist folgender:
   • maturpejos@yahoo.com

Betreff:
Folgende:
   • %Name des Computers% is Online

Body:
Der Body der Email ist folgender:
   • %gestohlene Infromation%

Prozess Beendigung Liste der Dienste die beendet werden:
   • Norton AntiVirus Auto-Protect Service
   • Kaspersky AntiVirus
   • McAfee Shield
   • System Restore Service

Diebstahl Es wird versucht folgende Information zu klauen:
– Windows Produkt ID
– In 'Passwort Eingabefelder' eingetippte Passwörter
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Folgende CD keys:
   • Battlefield 1942; Battlefield 1942 (Road To Rome); Battlefield 1942
      (Secret Weapons of WWII); Battlefield Vietnam; Black and White; Call
      Of Duty; Command & Conquer Generals; Command and Conquer: Generals
      (Zero Hour); Command and Conquer: Red Alert 2; Command and Conquer:
      Tiberian Sun; Counter-Strike (Retail); Chrome; FarCry; FIFA 2002; FIFA
      2003; FIFA 2004; FIFA 2005; Freedom Force; Global Operations; Gunman
      Chronicles; Half-Life; Hidden & Dangerous 2; IGI 2: Covert Strike;
      Industry Giant 2; James Bond 007: Nightfire; Legends of Might and
      Magic; Medal of Honor: Allied Assault; Medal of Honor: Allied Assault:
      Breakthrough; Medal of Honor: Allied Assault: Spearhead; Nascar Racing
      2002; Nascar Racing 2003; Nascar Racing 2004; Nascar Racing 2005; Need
      For Speed: Underground; Need For Speed: Hot Pursuit 2; NBA Live 2003;
      NBA Live 2004; NBA Live 2005; NHL 2003; NHL 2004; NHL 2005; NHL 2002;
      NOX; NOX2; Quake III Arena; Rainbow Six III RavenShield; Shogun: Total
      War: Warlord Edition; Soldiers Of Anarchy; The Gladiators; The Sims;
      The Sims Deluxe; The Sims Hot Date; The Sims House Party; The Sims
      Livin' Large; The Sims Superstar; The Sims Unleashed; The Sims
      Vacation; Unreal Tournament 2003; Unreal Tournament 2004; Unreal
      Tournament 2005; GetBackData NTFS

– Passwörter folgender Programme:
   • Cute FTP
   • Flash FXP
   • WS_FTP
   • Filezilla
   • Peer FTP
   • Exeem
   • Sendlink
   • Chat Anywhere
   • FTP Now
   • Deluxe FTP
   • Morpheus
   • Bitcomet
   • Firefly
   • MSN Messenger
   • Windows Messenger
   • Yahoo Messenger
   • ICQ
   • AOL Instant Messenger
   • Trillian
   • Miranda
   • GAIM
   • Outlook Express
   • Microsoft Outlook
   • IncrediMail
   • Eudora
   • Netscape
   • Mozilla Thunderbird
   • Group Mail Free
   • Yahoo! Mail
   • Hotmail/MSN
   • Gmail

– Aufgezeichnet wird:
    • Tastaturanschläge
    • Fensterinformation

Injektion – Es injiziert folgende Datei in einen Prozess: kurlmon.dll

    Prozessname:
   • explorer.exe

– Es injiziert folgende Datei in einen Prozess: HookApi.dll

    Prozessname:
   • explorer.exe

– Es injiziert folgende Datei in einen Prozess: services.dll

    Prozessname:
   • iexplore.exe

Diverses Internetverbindung:
Um auf eine verfügbare Internetverbindung zu prüfen werden folgende DNS Server kontaktiert:
   • ege.edu.tr
   • ankara.edu.tr

Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
   • www.aol.com

String:
Des Weiteren enthält es folgende Zeichenkette:
   • [ProAgent Trojan Horse -- Coded by SIS-Team - Made in Turkey]

Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.

Versteckt folgendes:
– Eigene Dateien
– Eigene Prozesse
– Eigene Registryschlüssel

– Die folgende Datei:
• msehk.dll

– Dateien welche folgende Zeichenkette in ihrem Dateinamen enthalten:
• wins32

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Die Beschreibung wurde erstellt von Daniel Constantin am Dienstag, 11. April 2006
Die Beschreibung wurde geändert von Daniel Constantin am Mittwoch, 12. April 2006

zurück . . . .