Vollständige Virenbeschreibung

Name:	TR/Agent.LS.5
Entdeckt am:	28/07/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	33.792 Bytes
MD5 Prüfsumme:	055cc94ec195ddfa969535fe41f1891f
VDF Version:	6.35.01.17 - Freitag, 28. Juli 2006
IVDF Version:	6.35.01.17 - Freitag, 28. Juli 2006

Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Alias:
   • Bitdefender: MemScan:Trojan.Downloader.Seproger.A

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Erstellt schädliche Dateien
   • Stiehlt Informationen

Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es werden folgende Dateien erstellt:

– %Verzeichnis in dem die Malware ausgeführt wurde%\p2hhr.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.
– %SYSDIR%\bensorty03.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Small.ddx.1

– %TEMPDIR%\%mehrere beliebige Ziffern% .exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Small.ckf.3

– %TEMPDIR%\%mehrere beliebige Ziffern% .exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Drop.Small.app

Es wird versucht folgende Datei auszuführen:

– Dateiname:
• Regsvr32.exe
unter Zuhilfenahme folgender Kommandozeilen-Parameter: /s bensorty03.dll

Hintertür Kontaktiert Server:
Den folgenden:
• http://traffic-acc.com:8088/unik/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Sende Informationen über:
• Aktueller Malware Status

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• PE Pack

Die Beschreibung wurde erstellt von Marius T. Nicolae am Dienstag, 1. August 2006
Die Beschreibung wurde geändert von Marius T. Nicolae am Mittwoch, 9. August 2006

zurück . . . .