Name:TR/Norip.1
Entdeckt am:20/07/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:89.911 Bytes
MD5 Prüfsumme:c38df15f1aae333a7dac39cb9646ed55
VDF Version:6.35.00.195
IVDF Version:6.35.00.235

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\LSASS.EXE
   • %WINDIR%\EXERT.EXE
   • %WINDIR%\Debug\DebugProgram.exe

   • %SYSDIR%\MSCONFIG.EXE
   • %SYSDIR%\dxdiag.com
   • %SYSDIR%\regedit.com

   • %PROGRAM FILES%\Internet Explorer\INTEXPLORE.COM
   • %PROGRAM FILES%\Common Files\INTEXPLORE.PIF



Eventuell könnten folgende Dateien beschädigt werden:
   • RAVMON.EXE
   • TROJDIE*
   • KPOP*
   • CCENTER*
   • *ASSISTSE*
   • KPFW*
   • AGENTSVR*
   • KV*
   • KREG*
   • IEFIND*
   • IPARMOR*
   • SVI.EXE
   • UPHC*
   • RULEWIZE*
   • FYGT*
   • RFWSRV*
   • RFWMA*

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ToP = %WINDIR%\LSASS.exe



Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\WindowFiles]

– [HKCR\WindowFiles\DefaultIcon]
   • @ = %1

– [HKCR\WindowFiles\Shell]

– [HKCR\WindowFiles\Shell\Open]

– [HKCR\WindowFiles\Shell\Open\Command]
   • @ = %WINDIR%\EXERT.exe "%1" %*



Folgende Registryschlüssel werden geändert:

– [HKCR\.exe]
   Neuer Wert:
   • @ = WindowFiles

– [HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
   Alter Wert:
   • @ = %Einstellungen des Benutzers%
   Neuer Wert:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" -nohome

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Alter Wert:
   • Check_Associations = %Einstellungen des Benutzers%
   Neuer Wert:
   • Check_Associations = No

– [HKCR\Applications\iexplore.exe\shell\open\command]
   Alter Wert:
   • @ = "%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1
   Neuer Wert:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" %1

– [HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\
   OpenHomePage\Command]
   Alter Wert:
   • @ = "%PROGRAM FILES%\Internet Explorer\iexplore.exe"
   Neuer Wert:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com"

– [HKCR\ftp\shell\open\command]
   Alter Wert:
   • @ = %Einstellungen des Benutzers%
   Neuer Wert:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" %1

– [HKCR\htmlfile\shell\open\command]
   Alter Wert:
   • @ = %Einstellungen des Benutzers%
   Neuer Wert:
   • @ = "%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" -nohome

– [HKCR\htmlfile\shell\opennew\command]
   Alter Wert:
   • @ = %Einstellungen des Benutzers%
   Neuer Wert:
   • @ = "%PROGRAM FILES%\Common Files\INTEXPLORE.pif" %1

– [HKCR\http\shell\open\command]
   Alter Wert:
   • @ = %Einstellungen des Benutzers%
   Neuer Wert:
   • @ = "%PROGRAM FILES%\Common Files\INTEXPLORE.pif" -nohome

 Prozess Beendigung Folgender Prozess wird beendet:
   • RAVMON.EXE

Prozesse mit einer der folgenden Zeichenketten werden beendet:
   • TROJDIE; KPOP; CCENTER; ASSISTSE; KPFW; AGENTSVR; KV; KREG; IEFIND;
      IPARMOR; SVI.EXE; UPHC; RULEWIZE; FYGT; RFWSRV; RFWMA


 Hintertür Kontaktiert Server:
Einer der folgenden:
   • http://upd.etsoft.com.cn/UPD/**********
   • http://upd.etsoft.com.cn/upd/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Gherman am Freitag, 28. Juli 2006
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 28. Juli 2006

zurück . . . .