Name:TR/TComBill.O
Entdeckt am:21/04/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:10.240 Bytes
MD5 Prüfsumme:79a56b6e3fdaf3d7fa6950e754cfa348
VDF Version:6.34.00.214

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Downloader.Win32.Small.coq
   •  TrendMicro: TROJ_DLOADER.DAY
   •  Bitdefender: Trojan.Downloader.Small.COQ


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

%SYSDIR%\sysldr.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/TComBill.O.2

 Registry Der Wert des folgenden Registry keys wird gelöscht:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • sysldr



Folgender Registryschlüssel wird hinzugefügt:

– [HKCR\CLSID\{%generierter CLSID%}\InprocServer32]
   • @ = sysldr.dll



Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   Neuer Wert:
   • sysldr = {%generierter CLSID%}

 Hintertür Kontaktiert Server:
Einer der folgenden:
   • http://dynafilmes.com.br/imagens/**********
   • http://soloaguia.com/imagens/**********
   • http://www.chiefmar.com/Images/**********
   • http://www.computerideasrl.it/immagini/**********
   • http://www.barpel.it/images/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.


Sende Informationen über:
    • Aktueller Malware Status


Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Datei ausführen

 Injektion –  Es injiziert folgende Datei in einen Prozess: %SYSDIR%\sysldr.dll

    Prozessname:
   • svchost.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Gherman am Dienstag, 25. April 2006
Die Beschreibung wurde geändert von Andrei Gherman am Dienstag, 25. April 2006

zurück . . . .