Name:TR/Enfal.E
Entdeckt am:05/08/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:65.586 Bytes
MD5 Prüfsumme:a6707ce1a445eb7f75abdb82b23dbd8c
VDF Version:6.35.01.53 - Samstag, 5. August 2006
IVDF Version:6.35.01.53 - Samstag, 5. August 2006

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: Enfal
   •  Kaspersky: Trojan.Win32.Enfal.d
   •  TrendMicro: WORM_AGENT.DJI
   •  Bitdefender: Trojan.Enfal.D


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\Winkrnl.exe
   • %SYSDIR%\DisMgnt.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

 Registry Folgender Registryschlüssel wird geändert:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Alter Wert:
   • "Userinit"="%sysdir%\userinit.exe,"
   Neuer Wert:
   • "Userinit"="%sysdir%\userinit.exe,%sysdir%\DisMgnt.exe"

 Hintertür Kontaktiert Server:
Einer der folgenden:
   • http://www.luck4us.com/http**********
   • http://www.luck4us.com/http**********
   • http://www.luck4us.com/http**********
   • http://www.luck4us.com/http**********
   • http://www.luck4us.com/http**********

Den folgenden:
   • http://www.luck4us.com**********

Hierdurch können Informationen gesendet werden. Außerdem wird die Verbindung regelmäßig wiederholt. Dies geschieht mittels der HTTP POST Methode unter Verwendung eines CGI Scripts.


Sende Informationen über:
    • Computername
    • MAC Adresse

 Injektion – Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • %WINDIR%\explorer.exe


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Teodor Onisor am Dienstag, 8. August 2006
Die Beschreibung wurde geändert von Teodor Onisor am Dienstag, 8. August 2006

zurück . . . .