Name:TR/Agent.LS.5
Entdeckt am:28/07/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:33.792 Bytes
MD5 Prüfsumme:055cc94ec195ddfa969535fe41f1891f
VDF Version:6.35.01.17 - Freitag, 28. Juli 2006
IVDF Version:6.35.01.17 - Freitag, 28. Juli 2006

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Alias:
   •  Bitdefender: MemScan:Trojan.Downloader.Seproger.A


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Erstellt schädliche Dateien
   • Stiehlt Informationen

 Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

%Verzeichnis in dem die Malware ausgeführt wurde%\p2hhr.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.
%SYSDIR%\bensorty03.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Small.ddx.1

%TEMPDIR%\%mehrere beliebige Ziffern% .exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Small.ckf.3

%TEMPDIR%\%mehrere beliebige Ziffern% .exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Drop.Small.app




Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • Regsvr32.exe
unter Zuhilfenahme folgender Kommandozeilen-Parameter: /s bensorty03.dll

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://traffic-acc.com:8088/unik/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.


Sende Informationen über:
    • Aktueller Malware Status

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • PE Pack

Die Beschreibung wurde erstellt von Marius T. Nicolae am Dienstag, 1. August 2006
Die Beschreibung wurde geändert von Marius T. Nicolae am Mittwoch, 9. August 2006

zurück . . . .