Vollständige Virenbeschreibung

Name:	TR/Spy.Haxspy.AP
Entdeckt am:	19/07/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	26.332 Bytes
MD5 Prüfsumme:	3f74b3177428e511150E49584d25e150
VDF Version:	6.35.00.184
IVDF Version:	6.35.00.224

Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Spy.Win32.Haxspy.ap
   • TrendMicro: TSPY_HAXSPY.AP

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
• %SYSDIR%\ksl48.bin

– %SYSDIR%\satau320.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %SYSDIR%\satau325.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\satau325]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"="\??\%SYSDIR%\satau325.sys"
   • "DisplayName"="SATA bus driver"

– [HKLM\SYSTEM\CurrentControlSet\Services\satau325\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\satau325\Enum]
   • "0"="Root\\LEGACY_SATAU325\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   satau320]
   • DllName=satau320.dll
   • Startup=satau320
   • Impersonate=dword:00000001
   • Asynchronous=dword:00000001
   • MaxWait=dword:00000001
   • "nk48id"="[%Hex Werte%]"

Hintertür Kontaktiert Server:
Den folgenden:
• http://dasterban1972.info/corpse/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels der HTTP GET und POST Methode unter Verwendung eines PHP Scripts.

Sende Informationen über:
• Aus dem Diebstahl-Bereich gesammelte Informationen

Diebstahl Es wird versucht folgende Information zu klauen:

– Passwörter folgender Programme:
   • Internet Explorer
   • MyIE
   • miranda
   • Mozilla
   • Maxthon
   • The Bat
   • Outlook Express
   • MSN
   • ICQ
   • Opera

– Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • E-gold
   • %jede Webseite mit Login-Formular%

– Aufgezeichnet wird:
    • Fensterinformation
    • Anmeldeinformation

Injektion – Es injiziert folgende Datei in einen Prozess: %SYSDIR%\satau320.dll

    Alle der folgenden Prozesse:
   • explorer.exe
   • iexplore.exe
   • opera.exe
   • myie.exe
   • mozilla.exe
   • thebat.exe
   • outlook.exe
   • msn.exe
   • icq.exe
   • %jeder neu gestartete Prozess nachdem die Malware aktiv im Speicher ist%

Zweck:
Der Zugriff auf folgende Webseiten wird effektiv unterbunden:
   • updates1.kaspersky-labs.com; customer.symantec.com;
      download.mcafee.com; downloads1.kaspersky-labs.com;
      downloads1.kaspersky-labs.com; downloads2.kaspersky-labs.com; avp.com;
      avp.ru; awaps.net; downloads3.kaspersky-labs.com; dispatch.mcafee.com;
      downloads4.kaspersky-labs.com; avp.ch; updates1.kaspersky-labs.com;
      updates2.kaspersky-labs.com; virustotal.com;
      updates3.kaspersky-labs.com; d-ru-2f.kaspersky-labs.com;
      updates3.kaspersky-labs.com; updates4.kaspersky-labs.com;
      updates5.kaspersky-labs.com; downloads-us1.kaspersky-labs.com;
      downloads-us2.kaspersky-labs.com; downloads-us3.kaspersky-labs.com;
      engine.awaps.net; f-secure.com; ftp.avp.ch;
      ftp.downloads2.kaspersky-labs.com; ftp.f-secure.com;
      ftp.kasperskylab.ru; ftp.kaspersky.ru; d-ru-1f.kaspersky-labs.com;
      d-eu-1f.kaspersky-labs.com; rads.mcafee.com;
      d-eu-2f.kaspersky-labs.com; liveupdate.symantec.com;
      d-us-1f.kaspersky-labs.com; ftp.sophos.com; ids.kaspersky-labs.com;
      kaspersky.com; kaspersky-labs.com; kaspersky.ru;
      liveupdate.symantecliveupdate.com; mast.mcafee.com; mcafee.com;
      my-etrust.com; networkassociates.com; phx.corporate-ir.net;
      securityresponse.symantec.com; service1.symantec.com; sophos.com;
      spd.atdmt.com; symantec.com; trendmicro.com; update.symantec.com;
      updates.symantec.com; us.mcafee.com

Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.

– Die folgenden Dateien:
   • sc02.ies4
   • satau320.dll
   • sc03.ies4
   • satau325.sys
   • sc01.ies4

Eingesetzte Methode:
    • Unsichtbar von Windows API

Klinkt sich in folgende API-Funktionen ein:
   • NtCreateProcess
   • ZwCreateProcess
   • NtCreateProcessEx
   • ZtCreateProcessEx
   • NtQueryDirectoryFile
   • ZwQueryDirectoryFile

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• FSG 2.0

Die Beschreibung wurde erstellt von Victor Tone am Montag, 31. Juli 2006
Die Beschreibung wurde geändert von Victor Tone am Montag, 31. Juli 2006

zurück . . . .