Name:TR/Proxy.Horst.bl
Entdeckt am:19/04/2006
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:49.664 Bytes
MD5 Prüfsumme:d06bf79493e4e41528f9ebf2d96a34a1
VDF Version:6.34.00.199
IVDF Version:6.34.00.201 - Mittwoch, 19. April 2006

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Proxy.Win32.Horst.bl
   •  Bitdefender: Trojan.Proxy.Horst.Q


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\system\smss.exe



Es werden folgende Dateien erstellt:

%TEMPDIR%\tmp1.tmp Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
%SYSDIR%\nvsvcd.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.



Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://up.medbod.com/up/**********?jaal-1_%Nummer%_%Nummer%
Diese wird lokal gespeichert unter: %TEMPDIR%\%Nummer%exmodul32.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ".nvsvc"="%WINDIR%\system\smss.exe /w"



Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– HKLM\SYSTEM\CurrentControlSet\Services\Windows Log
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\nvsvcd.exe"
   • "DisplayName"="Windows Log"
   • "ObjectName"="LocalSystem"

– HKLM\SYSTEM\CurrentControlSet\Services\Windows Log\Security
   • "Security"=%Hex Werte%



Alle Werte des folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50



Folgender Registryschlüssel wird hinzugefügt:

– HKCU\Software\Microsoft\PModule
   • "Hash"="%Hexadezimale Zahl%"
   • "Pid"=dword:00000c88

 Email Von:
Gesammelte Adressen aus dem Internet. Bitte vermuten Sie nicht, dass es des Absenders Absicht war diese Email zu schicken. Es ist möglich, dass er nichts über seine Infektion weiß oder sogar nicht infiziert ist. Des Weiteren ist es möglich, dass Sie Emails bekommen in denen die Rede davon ist, dass Sie infiziert sind was möglicherweise auch nicht stimmt.


An:
– Gesammelte Adressen aus dem Internet.


Body:
– Verwendung von HTML Inhalten.
Der Inhalt stammt aus der Datei: http://seekj.lootseek.com/d/**********



Die Email sieht wie folgt aus:


 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen werden Verbindungen mit folgenden IRC Servern hergestellt:

Server: info.cabmun.**********
Port: 5190
Nickname: jaal-1_%Nummer%_%Nummer%

Server: up.barmuz.**********
Port: 1021
Nickname: jaal-1_%Nummer%_%Nummer%


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • Datei herunterladen
    • Datei ausführen

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://rc.rizalof.com/**********?version=%Nummer%



Sende Informationen über:
    • Aktueller Malware Status

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Ionut Slaveanu am Mittwoch, 14. Juni 2006
Die Beschreibung wurde geändert von Ionut Slaveanu am Mittwoch, 28. Juni 2006

zurück . . . .