Name:TR/Renova.A
Entdeckt am:19/07/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:34.816 Bytes
MD5 Prüfsumme:aced41c2c5f1a66a9288fba1a5fdbeba
VDF Version:6.35.00.185
IVDF Version:6.35.00.225

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan.Win32.Agent.qj
   •  Bitdefender: Trojan.Renova.A


Betriebsysteme:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\emma.exe
   • %SYSDIR%\nova.exe
   • %SYSDIR%\alisa.exe
   • %PROGRAM FILES%\Common Files\Renova.exe




Es versucht folgende Dateien auszuführen:

– Dateiname:
   • %SYSDIR%\emma.exe


– Dateiname:
   • %SYSDIR%\alisa.exe

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Shell"="%PROGRAM FILES%\Common Files\Renova.exe"



Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Renova"="Nova.exe"



Folgende Registryschlüssel werden geändert:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   Alter Wert:
   • "AlternateShell"="cmd.exe"
   Neuer Wert:
   • "AlternateShell"="%PROGRAM FILES%\Common Files\Renova.exe"

– [HKLM\SYSTEM\ControlSet%Nummer%\Control\SafeBoot]
   Alter Wert:
   • "AlternateShell"="cmd.exe"
   Neuer Wert:
   • "AlternateShell"="%PROGRAM FILES%\Common Files\Renova.exe"

Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\NOHIDDEN]
   Alter Wert:
   • "CheckedValue"=%Einstellungen des Benutzers%
   • "DefaultValue"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "CheckedValue"=dword:00000002
   • "DefaultValue"=dword:00000002

Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Alter Wert:
   • "CheckedValue"=%Einstellungen des Benutzers%
   • "DefaultValue"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "CheckedValue"=dword:00000001
   • "DefaultValue"=dword:00000002

Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Alter Wert:
   • "CheckedValue"=%Einstellungen des Benutzers%
   • "DefaultValue"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "CheckedValue"=dword:00000001
   • "DefaultValue"=dword:00000001

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Alter Wert:
   • "NoSaveSettings"=%Einstellungen des Benutzers%
   • "NoFolderOptions"=%Einstellungen des Benutzers%
   • "NoFind"=%Einstellungen des Benutzers%
   • "NoRun"=%Einstellungen des Benutzers%
   • "NoControlPanel"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "NoSaveSettings"=dword:00000000
   • "NoFolderOptions"=dword:00000001
   • "NoFind"=dword:00000001
   • "NoRun"=dword:00000000
   • "NoControlPanel"=dword:00000000

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\
   Group Policy Objects\LocalUser\Software\Microsoft\Windows\
   CurrentVersion\Policies\System]
   Alter Wert:
   • "DisableRegistryTools"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableRegistryTools"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Alter Wert:
   • "DisableRegistryTools"=%Einstellungen des Benutzers%
     "DisabletaskMgr"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableRegistryTools"=dword:00000000
     "DisabletaskMgr"=dword:00000000

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   Alter Wert:
   • "DisableConfig"=%Einstellungen des Benutzers%
     "DisableSR"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableConfig"=dword:00000001
     "DisableSR"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Shell"="Explorer.exe"
     "Userinit"="%SYSDIR%\userinit.exe"
   Neuer Wert:
   • "Shell"="explorer.exe "%PROGRAM FILES%\Common Files\Renova.exe"
     "Userinit"="explorer.exe "%PROGRAM FILES%\Common Files\Renova.exe"

– [HKCU\Software\Policies\Microsoft\Windows\System]
   Alter Wert:
   • "DisableCMD"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableCMD"=dword:00000000

 Prozess Beendigung Prozesse mit einem der folgenden Fensternamen werden beendet:
   • CompactbyteAV; Advanced Registry Tracer; Setup - iKnowPS; iKnowPS;
      RamCleaner; System Cleaner; TuneUp RegistryCleaner; Antivirus Scanner;
      Zanda's little helper; Norman Generic Fix; NVC v5.81 Setup; Norman
      Virus Control - InstallShield Wizard; Process Explorer - Sysinternals:
      www.sysinternals.com; Pocket Killbox; RegCleaner 4.1 by Jouni Vuorio;
      Security Task Manager Versi shareware tanpa registrasi; Security Task
      Manager; Installation; EULA; PowerDVD; Windows Media Player; System
      Restore; Restrictions; Close Programs; Close Program; Task Manager;
      HijackThis; HijackThis - v1.99.1; Else; TURN 0FF REN0VA; Renova
      Aliciana; Microsoft Configuration Utility; System Configuration
      Utility; Registry Editor; open; Windows Task Manager; Renova Emira;
      RABIAH; RABI'AH; MANTIK; PLATO; KINDI; IMAMAH; MATURID; HARUN NAS;
      IZUTSU; TEOLOGI; SUFI; PARTAI; HASAN ALBANA; IKHWANUL MUSLIMIN;
      TAHRIR; ARISTOTELES; GIBRAN; GHAZALI; IHYA; GENDER; PLURALISME; SYIAH;
      SYI'AH; DEMOCRA; DEMOKRA; LIBERAL; TASAWUF; SAMIR; YUNAN; QUTH;
      EMANSIP; PHILOSOP; MUTAZILAH; MU'TAZILAH; FILOSOF; FILSAFAT;
      REALPLAYER; CLEANER; MOVZX; REMOVER; ZANDA; MACHINE; CILLIN; CILIN;
      AVAST; GRISOFT; PROCEXP; NORTON; EARTHLINK PROTECTION; WASHER;
      COMPACTBYTEAV; ADVANCED REGISTRY TRACER; KILL; CASTLECOPS; SOPHOS;
      F-SECURE; REGISTRYFIX; PANDA; SECUNIA; TREND; SYMANTEC; KASPERSKY;
      AVG; MCAFEE; NVC; NORMAN; VAKSIN; HACKER; PROCESS EXPLORER -
      SYSINTERNALS; PCMAV; HIJACK; KILLBOX; VIRUS; ANTI; EMIKO SHIRATORI;
      FAYE WONG; UEMATSU; NUOBUO; NOUBUO; NOBUO; NUBUO; MADONNA; MADONA;
      BENNINGTON; BENINGTON; GUN AND ROSE; GUN N ROSE; BLUR; SAMMY; PEARL;
      NAZARE; FRENTE; CRANBER; RADIOHEAD; RADIO HEAD; STING; SAYBIA; KEANE;
      GROBAN; ALTER; STEFAN; GWEN; MAROON; ANTHEM; GROOVE COVARAGE; PRODIGY;
      AGUILERA; BEDING; METALLICA; GUN N'ROSES; ALICIA KEYS; TATA YOUNG; BOY
      ZONE; MICHEL; MICHAEL; MICHEAL; MLTR; MARTYN; MARTIN; SCORPION; LINKIN
      PARK; LINKINPARK; GREEN DAY; GREENDAY; HOOBASTANK; PETER; WEST; SPICE;
      BRITNEY; DEDI DOR; NIA DANIAT; DAHLIA; NIKE ARD; BAGASKARA; KATON;
      NAFF; TITIK PUSPA; TITIEK PUSPA; DELON; SNADA; JOSHUA; SHERINA;
      SERIEUS; SERIUES; SEURIUS; 10 2 5; TENTOFIVE; TEN2FIVE; 10 TO 5; TEN
      TO FIVE; TEN 2 FIVE; CHRISYE; SO7; SHEILA; GLENN; AURIL; AVRIL; OPICK;
      AGNES; ANANG; NUGIE; HADAD; HADDAD; AB THREE; REZA; CAFEIN; CAFFEIN;
      RATU; RADJA; LALUNA; THE RAIN; UTOPIA; SPARK; BASEJAM; ENDANK; JAVA
      JIVE; MARCEL; BUNGLON; ANDRE HEHANU; FLANELA; BAIM; CANDIL; KOES P;
      MINORU; NUNO; YOVI; AUDY; TERE; WAYANG; BASE JAM; JIKUSTIK; SAMSON;
      PAS BAND; BOOMERANG; NAIF; COKELAT; KAPTEN BAND; TIC BAND; JAMRUD;
      KOTAK BAND; AMERICAN IDOL; INDONESIAN IDOL; TEAM LO; BUNGA; TIPE-X;
      TIPE X; ELEMENT; EMINEM; RAIHAN; RAYHAN; MELY; MELLY; UNGU; STINGKY;
      SLANK; INUL; PADI; IWAN FAL; ADABAND; ADA BAND; ROSA; KRISDAYANTI;
      NURHALIZA; DEWA; ARY LASO; ARY LASSO; ARI LASO; ARI LASSO; GIGI;
      CHEER; DANCE; SING; SONG; MP 3; MP3; MARAWIS; NASYID; DANGDUT; MELODI;
      MELODY; SENANDUNG; IRAMA; GITAR; GUITAR; NYANYI; LAGU; WINAMP; MUSIK;
      Shell_TrayWnd; MUSIC


 Diverses Mutex:
Es werden folgende Mutexe erzeugt:
   • Renova Emira
   • Renova Aliciana

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Adriana Popa am Donnerstag, 27. Juli 2006
Die Beschreibung wurde geändert von Adriana Popa am Donnerstag, 27. Juli 2006

zurück . . . .