Name:TR/Agent.PK.12
Entdeckt am:28/07/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:152.576 Bytes
MD5 Prüfsumme:07c5676f2679af4a221b943e012daa2a
VDF Version:6.35.01.17 - Freitag, 28. Juli 2006
IVDF Version:6.35.01.17 - Freitag, 28. Juli 2006

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Änderung an der Registry

 Dateien Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • 208.66.195.**********:2234
Diese wird lokal gespeichert unter: %TEMPDIR%\%mehrere beliebige Ziffern%\2234.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde.

 Registry Der Wert des folgenden Registry keys wird gelöscht:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "DCOM Server"



Es wird ein browser helper object (BHO) registriert indem folgender key hinzugefügt wird:

– HKCR\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2234}\InProcServer32
   • "ThreadingModel"="Apartment"
   • "(Default)"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"



Folgende Registryschlüssel werden hinzugefügt:

– HKCR\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2234}
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad
   • "DCOM Server 2234"="{2C1CD3D7-86AC-4068-93BC-A02304BB2234}"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   SharedTaskScheduler
   • "{2C1CD3D7-86AC-4068-93BC-A02304BB2234}"="DCOM Server 2234"

 Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall bleiben bestehende Einträge erhalten.

– Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • www.trendmicro.com; rads.mcafee.com; customer.symantec.com;
      liveupdate.symantec.com; us.mcafee.com; updates.symantec.com;
      www.nai.com; secure.nai.com; dispatch.mcafee.com; download.mcafee.com;
      www.my-etrust.com; mast.mcafee.com; ca.com; www.ca.com;
      networkassociates.com; www.networkassociates.com; avp.com;
      www.kaspersky.com; www.avp.com; downloads4.kaspersky-labs.com;
      downloads3.kaspersky-labs.com; downloads2.kaspersky-labs.com;
      downloads1.kaspersky-labs.com; www.f-secure.com; viruslist.com;
      www.viruslist.com; liveupdate.symantecliveupdate.com; www.mcafee.com;
      sophos.com; www.sophos.com; securityresponse.symantec.com;
      www.symantec.com




Die modifizierte Host Datei sieht wie folgt aus:


 Hintertür Kontaktiert Server:
Den folgenden:
   • 208.66.195.**********:2234

Hierdurch können Informationen gesendet werden. Die Antwort der Servers wird in folgende Datei geschrieben: %APPDATA%\Microsoft\2234.dat


Sende Informationen über:
    • Information über das Windows Betriebsystem

 Diverses  Kontaktiert folgende Webseiten um auf eine vorhandene Internetverbindung zu Überprüfen:
   • aol.com
   • verizon.net
   • ameritech.net
   • cox.net
   • rr.com
   • adelphia.net
   • comcast.net
   • optonline.net


Mutex:
Es wird folgender Mutex erzeugt:
   • hs5pdllv42234

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Marius T. Nicolae am Dienstag, 8. August 2006
Die Beschreibung wurde geändert von Marius T. Nicolae am Donnerstag, 17. August 2006

zurück . . . .