Name:TR/KillFiles.JA
Entdeckt am:13/07/2006
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Hoch
Statische Datei:Ja
Dateigröße:9.008 Bytes
MD5 Prüfsumme:8bb7961e5b018190ac5950d96605e0b8
VDF Version:6.35.00.126
IVDF Version:6.35.00.154 - Mittwoch, 12. Juli 2006

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan.Win32.KillFiles.ja
   •  TrendMicro: TROJ_KILLFILE.AV


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry


Nach Aktivierung werden folgende Informationen angezeigt:



 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\Persian-X27.exe
   • %WINDIR%\Miscreant.exe



Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %alle Verzeichnisse% Mit einem der folgenden Namen:
   • OnLine.exe
   • Service.exe
   • Music.exe
   • Girls.exe
   • Women.exe
   • DJ Tattoo.exe
   • Funny.exe
   • Trollop.exe
   • Scamp.exe
   • Puck.exe
   • Pixy.exe
   • OedipusComplex.exe
   • Nursling.exe
   • Matrix.exe
   • Loon.exe
   • Phallic.exe
   • Watchfulness.exe
   • Heavy.exe
   • Nightcap.exe
   • Brilliance.exe
   • Wittol.exe
   • Whorish.exe
   • Whoreson.exe
   • Ribald.exe
   • Quean.exe
   • Nag.exe
   • Magdalen.exe
   • Mademe.exe
   • Harridan.exe
   • Harlot.exe
   • Hackney.exe
   • Fornicate.exe
   • Besom.exe
   • Townswoman.exe
   • Lupanar.exe
   • Fornication.exe
   • FancyWomen.exe
   • Drab.exe
   • Doxy.exe
   • Zoogenous.exe
   • Sodomyh.exe
   • Shoat.exe
   • Saucebox.exe
   • Pederasty.exe
   • Oaf.exe
   • Nanny.exe
   • Adulteress.exe
   • Abed.exe
   • Bedfellow.exe
   • Chemise.exe
   • Nightwalker.exe
   • Opiate.exe
   • Sly.exe
   • Whoremonger.exe
   • Wench.exe
   • Trul.exe
   • Prostitute.exe
   • Meretricious.exe
   • Callet.exe
   • GrassWidow.exe
   • Geisha.exe
   • Cockatrice.exe
   • Zoogenic.exe
   • Womb.exe
   • Viviparity.exe
   • Urchin.exe
   • Uniparous.exe
   • Tyke.exe
   • Terror.exe
   • Tad.exe
   • Stillborn.exe
   • Sissy.exe
   • Raptor.exe
   • Piddle.exe
   • Parturient.exe
   • Cuckold.exe
   • Penis.exe
   • Bedclothes.exe
   • Cohabitant.exe
   • Fluff.exe
   • Sagacity.exe
   • Knowing.exe
   • Ingenious.exe
   • Cunning.exe
   • Strumpet.exe
   • Streetwalker.exe
   • Stallion.exe
   • Moll.exe
   • Lighto'love.exe
   • Hetaira.exe
   • Courtezan.exe
   • Bordel.exe




Folgende Dateien werden gelöscht:
   • %SYSDIR%\Restore\rstrui.exe
   • %SYSDIR%\Restore\srframe.mmf
   • %SYSDIR%\Restore\srdiag.exe
   • %Laufwerk%:\%alle Verzeichnisse%\*.*



Es wird folgende Datei erstellt:

%Laufwerk%:\%alle Verzeichnisse%\%zufällig ausgewähltes Verzeichnis%@li-RNo.H.Txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • Hi,How Are You ?
     Ali Reza No.H.::.
     My name is FoovaPartB

 Registry Der Wert des folgenden Registry keys wird gelöscht:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .%Buchstabe%%Buchstabe%%Buchstabe%\Application]


Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoDrives"=dword:00000004

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp3]
   • "Application"="%SYSDIR%\Persian-X27.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .mp3\OpenWithList]
   • "a"="%SYSDIR%\Persian-X27.exe"

– [HKCR\ArnhFile]
   • @="E:\PersianMiscreant-X27 File"

– [HKCR\ArnhFile\DefaultIcon]
   • @="%SYSDIR%\Persian-X27.exe"

– [HKCR\ArnhFile\shell]
– [HKCR\ArnhFile\shell\open]
– [HKCR\ArnhFile\shell\open\command]
   • @="%SYSDIR%\Persian-X27.exe %L"



Folgende Registryschlüssel werden geändert:

– [HKCR\.exe]
   Alter Wert:
   • @="exefile"
   Neuer Wert:
   • @="Mp3File"

– [HKCR\.%Buchstabe%%Buchstabe%%Buchstabe%]
   Neuer Wert:
   • @="ArnhFile"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .%Buchstabe%%Buchstabe%%Buchstabe%]
   Neuer Wert:
   • "Application"="%SYSDIR%\Persian-X27.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
   .%Buchstabe%%Buchstabe%%Buchstabe%\
   OpenWithList]
   Neuer Wert:
   • "a"="%SYSDIR%\Persian-X27.exe"

– [HKCR\mp3file]
   Neuer Wert:
   • @="E:\PersianMiscreant-X27 File"

– [HKCR\mp3file\DefaultIcon]
   Neuer Wert:
   • @="%SYSDIR%\Persian-X27.exe"

– [HKCR\mp3file\shell\open\command]
   Neuer Wert:
   • @="%SYSDIR%\Persian-X27.exe %L"

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • FSG

Die Beschreibung wurde erstellt von Monica Ghitun am Donnerstag, 13. Juli 2006
Die Beschreibung wurde geändert von Monica Ghitun am Dienstag, 1. August 2006

zurück . . . .