Name:TR/NSAnti.A.319
Entdeckt am:29/05/2006
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:283.656 Bytes
MD5 Prüfsumme:5164477c6eac422c840Dbf1d658f599b
VDF Version:6.34.01.29
IVDF Version:6.34.01.30 - Mittwoch, 3. Mai 2006

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  TrendMicro: BKDR_HUIGEZI.W
   •  Bitdefender: Trojan.NSAnti.A


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\GAME.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %WINDIR%\uninstal.bat




Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • %WINDIR%\uninstal.bat
Diese Batchdatei wird genutzt um eine Datei zu löschen.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\ControlSet001\Services\Colume]
   • "Description"="╣▄└φ▒╕╖▌,╣╪▒╒║≤╜½▓╗─▄╜°╨╨╧╡═│╗╣╘¡"
   • "ImagePath"="%WINDIR%\GAME.exe"
   • "ObjectName"="LocalSystem"
   • "DisplayName"="Colume"
   • "ErrorControl"=dword:00000000
   • "Start"=dword:00000002
   • "Type"=dword:00000110

– [HKLM\SYSTEM\ControlSet001\Services\Colume\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COLUME\0000\Control]
   • "ActiveService"="Colume"
   • "*NewlyCreated*"=dword:00000000

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COLUME]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COLUME\0000]
   • "DeviceDesc"="Colume"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "Class"="LegacyDriver"
   • "ConfigFlags"=dword:00000000
   • "Legacy"=dword:00000001
   • "Service"="Colume"

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_COLUME\0000\Control]
   • "ActiveService"="Colume"
   • "*NewlyCreated*"=dword:00000000

– [HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent]
   • @=dword:00000010

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://qcqcz.bd7x.com/**********

Außerdem wird die Verbindung regelmäßig wiederholt.

Sende Informationen über:
    • Computername
    • Information über das Windows Betriebsystem

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Alexandru Tudor am Montag, 29. Mai 2006
Die Beschreibung wurde geändert von Alexandru Tudor am Dienstag, 6. Juni 2006

zurück . . . .