Name:TR/Dldr.Banker.GA.1
Entdeckt am:25/07/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:42.496 Bytes
MD5 Prüfsumme:06bf129bba13d220406a6ce5739d63a1
VDF Version:6.35.01.000
IVDF Version:6.35.01.000

 Allgemein Aliases:
   •  Symantec: Infostealer.Snifula
   •  Kaspersky: Trojan-Spy.Win32.Small.gf
   •  Sophos: Troj/FireSpy-A


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Erstellt Dateien
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\138762763.exe



Bereiche werden einer Datei hinzugefügt.
– An: %APPDATA%\Mozilla\Firefox\Profiles\%achtstellige zufällige Buchstabenkombination%.default\extensions.ini Mit folgendem Inhalt:
   • [ExtensionDirs]
     Extension0=%APPDATA%\Mozilla\Firefox\Profiles\5yxkpuhr.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\install.rdf




Es werden folgende Dateien erstellt:

%PROGRAM FILES%\Mozilla Firefox\Components\AppInterConn.xpt
%PROGRAM FILES%\Mozilla Firefox\Components\AppInterConn.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Agent.SN.4

– %APPDATA%\Mozilla\Firefox\Profiles\%achtstellige zufällige Buchstabenkombination%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\install.rdf
– %APPDATA%\Mozilla\Firefox\Profiles\%achtstellige zufällige Buchstabenkombination%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\chrome.manifest
– %APPDATA%\Mozilla\Firefox\Profiles\%achtstellige zufällige Buchstabenkombination%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\chrome\numberedlinks.jar
– %APPDATA%\Mozilla\Firefox\Profiles\%achtstellige zufällige Buchstabenkombination%.default\chrome\overlayinfo\browser\content\overlays.rdf
– %APPDATA%\Mozilla\Firefox\Profiles\%achtstellige zufällige Buchstabenkombination%.default\chrome\chrome.rdf

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "stup"="%SYSDIR%\138762763.exe"



Folgender Registryschlüssel wird hinzugefügt:

– HKCU\Software\keys
   • "k2"=%Hexadezimale Zahl%
   • "k1"=%Hexadezimale Zahl%

 Hintertür Kontaktiert Server:
Den folgenden:
   • 81.95.147.107/cgi-bin/**********

Dies geschieht mittels einer HTTP GET Anfrage an ein CGI Script.


Sende Informationen über:
    • Aus dem Diebstahl-Bereich gesammelte Informationen

 Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter

– Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
   • %jede Webseite mit Login-Formular%

– Aufgezeichnet wird:
    • Anmeldeinformation

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • kjhskdhkjshfd_Mutex

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Bogdan Iliuta am Freitag, 28. Juli 2006
Die Beschreibung wurde geändert von Bogdan Iliuta am Montag, 31. Juli 2006

zurück . . . .