Name:TR/Dldr.EbayBill.D
Entdeckt am:18/07/2006
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:17.408 Bytes
MD5 Prüfsumme:ca0E2fc83c794fa7be2aa3cae0a7ee0F
VDF Version:6.35.00.172
IVDF Version:6.35.00.211

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt Dateien
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\ipf.exe



Es werden folgende Dateien erstellt:

%SYSDIR%\drivers\winut.dat

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "IPF"="%SYSDIR%\ipf.exe"



Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%:*:Enabled:%ausgeführte Datei%"
   • "%SYSDIR%\ipf.exe"="%SYSDIR%\ipf.exe:*:Enabled:ipf"

 Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://www.dbspider.net/approach-som/images/**********
   • http://www.leads4sales.co.uk/images/main/**********
   • http://www.soloaguia.com/imagens/3/**********
   • http://www.dynafilmes.com.br/imagens/3/**********
   • http://www.spbfp.atlant.ru/sys/sys/**********
   • http://www.soloaguia.com/imagens/**********
   • http://www.docslv.com/gallery/bridge/**********
   • http://www.dynafilmes.com.br/imagens/**********
   • http://www.dreadwolf.net/**********
   • http://www.spbfp.atlant.ru/sys/**********
   • http://www.actsmiley.co.uk/img/**********

Hierdurch werden Hintertürfunktionen bereitgestellt. Die Antwort der Servers wird in folgende Datei geschrieben: %SYSDIR%\drivers\winut.dat


Möglichkeiten der Fernkontrolle:
    • Datei herunterladen

 Diverses Mutex:
Es werden folgende Mutexe erzeugt:
   • .t__!!x!!__t!!__
   • __[__z__l__s__]__


String:
Des Weiteren enthält es folgende Zeichenketten:
   • The battle for middle earth
   • World Craft
   • Hallo god to be back haalllo.. Scooter the stdaium tehno experiance
   • Deed you miss me??
   • This is a mile mikhael city
   • This is a MonsterTune

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Monica Ghitun am Dienstag, 18. Juli 2006
Die Beschreibung wurde geändert von Monica Ghitun am Mittwoch, 19. Juli 2006

zurück . . . .