Name:TR/Drop.Filmweb.A.2
Entdeckt am:06/08/2006
Art:Trojan
Nebenart:Dropper
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:196.608 Bytes
MD5 Prüfsumme:0eaae499eb6816f65cee85c253f45f34
VDF Version:6.34.01.200
IVDF Version:6.34.01.206

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan.Win32.Agent.ut
   •  VirusBuster: Trojan.Agent.DPK


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt Dateien
   • Änderung an der Registry

 Dateien Es werden folgende Dateien erstellt:

%TEMPDIR%\drv.inf
%TEMPDIR%\run.bat



Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • www.ehu.com.cn/filmweb/**********
Diese wird lokal gespeichert unter: %WINDIR%\ehu.exe Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "MyShares"="%PROGRAM FILES%\Ò×»¢\MyShares.exe /tray"
   • "LocalSystem"="%SYSDIR%\svchost.exe"
   • "Syss"="%TEMPDIR%\ehuupdate.exe"

 Hintertür Kontaktiert Server:
Den folgenden:
   • www.ehu.com.cn/filmweb/**********


 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • 0xbe8e2ce1, 0xdab6, 0x11d6, 0xad, 0xd0, 0x0, 0xe0, 0x4c, 0x53, 0xf6, 0xe9

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Adriana Popa am Dienstag, 15. August 2006
Die Beschreibung wurde geändert von Adriana Popa am Mittwoch, 16. August 2006

zurück . . . .