Name:BDS/Ginwui.A.4
Entdeckt am:22/05/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:73.245 Bytes
MD5 Prüfsumme:6d69ab10c2e8194465ab25cbfb96dae6
VDF Version:6.34.01.120

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: Backdoor.Ginwui.B
   •  Mcafee: BackDoor-CKB
   •  Kaspersky: Backdoor.Win32.Ginwui.a
   •  TrendMicro: BKDR_GINWUI.B
   •  Bitdefender: Backdoor.Ginwui.B


Betriebsysteme:
   • Windows NT
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %TEMPDIR%\20060426.bak



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

%SYSDIR%\zsydll.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Ginwui.A.DLL

%SYSDIR%\zsyhide.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Ginwui.A

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   zsydll]
   • DllName = %SYSDIR%\zsydll.dll
   • Shutdown = DoShutdown
   • Startup = DoStartup
   • Asynchronous = 1
   • Impersonate = 0



Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Neuer Wert:
   • AppInit_DLLs = %SYSDIR%\zsyhide.dll

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://scfzf.xi**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Außerdem wird die Verbindung regelmäßig wiederholt.

 Injektion –  Es injiziert folgende Datei in einen Prozess: %SYSDIR%\zsydll.dll

    Prozessname:
   • iexplore.exe


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Andrei Gherman am Montag, 22. Mai 2006
Die Beschreibung wurde geändert von Andrei Gherman am Montag, 22. Mai 2006

zurück . . . .