Name:TR/Agent.bah
Entdeckt am:12/07/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:2.836.992 Bytes
MD5 Prüfsumme:c9990e25bf40674a2fefe09fbb931b5a
VDF Version:6.35.00.154
IVDF Version:6.35.00.193 - Donnerstag, 20. Juli 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan.Win32.Pakes
   •  TrendMicro: BKDR_HUPIGON.AYE
   •  F-Secure: Trojan.Win32.Pakes
   •  Eset: Win32/Hupigon.NAB
   •  Bitdefender: Backdoor.Agent.QF


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08O.com



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

%SYSDIR%\drivers\oreans32.sys
%PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08O.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Pakes.A.687

%PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08Okey.DLL Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Pakes.A.688

%PROGRAM FILES%\Common Files\System\Ole DB\MSMDG08Okey.log Diese Datei enthält gesammelte Tastatureingaben.
%WINDIR%\uninstal.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000001
   • "ImagePath"=\??\%SYSDIR%\drivers\oreans32.sys
   • "DisplayName"="oreans32"

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
   • "0"="Root\\LEGACY_OREANS32\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Hintertür Kontaktiert Server:
Den folgenden:
   • nightscorpio.kmip.**********:8989

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Außerdem wird die Verbindung regelmäßig wiederholt.

Sende Informationen über:
    • Computername
    • Art der Internetverbindung
    • IP Adresse
    • Information über das Windows Betriebsystem


Möglichkeiten der Fernkontrolle:
    • DDoS SYN Angriff starten
    • Gesharte Netzlaufwerke deaktivieren
    • Gesharte Netzlaufwerke aktivieren
    • Starte Tastaturüberwachung

 Injektion –  Es injiziert folgende Datei in einen Prozess: MSMDG08O.dll

    Prozessname:
   • iexplore.exe



–  Es injiziert folgende Datei in einen Prozess: MSMDG08Okey.DLL

    Prozessname:
   • %alle laufenden Prozesse%


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Adriana Popa am Montag, 4. September 2006
Die Beschreibung wurde geändert von Adriana Popa am Dienstag, 12. September 2006

zurück . . . .