Vollständige Virenbeschreibung

Name:	TR/Nichgig
Entdeckt am:	28/06/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	10.901 Bytes
MD5 Prüfsumme:	62c776499583a39c3e613ead52e23c9c
VDF Version:	6.35.00.87
IVDF Version:	6.35.00.95 - Donnerstag, 29. Juni 2006

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Trojan.Gobrena
   • Mcafee: PWS-Goldun.dr
   • Kaspersky: Trojan-Spy.Win32.Goldun.mf
   • F-Secure: Trojan-Spy.Win32.Goldun.mf
   • VirusBuster: TrojanSpy.Goldun.LG
   • Eset: Win32/Spy.Goldun.LX

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Es wird folgendes Verzeichnis erstellt:
• %TEMPDIR%\4185XXXX

Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %TEMPDIR%\4185XXXX\%Nummer%.tmp

– %SYSDIR%\hdtvu6.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Goldun.ME

– %SYSDIR%\nkudpn1.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Nichgig

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"="\??\%SYSDIR%\nkudpn1.sys"
   • "DisplayName"="NKU UDPN1-01"

– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1\Enum
   • "0"="Root\LEGACY_NKUDPN1\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Services\nkudpn1\Security
   • "Security"=%Hex Werte%

Folgender Registryschlüssel wird hinzugefügt:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   hdtvu6
   • "DllName"="hdtvu6.dll"
   • "Startup"="hdtvu6"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Control
   • "isfr2"="[%Nummer%[%current user%]"

Hintertür Kontaktiert Server:
Den folgenden:
   • www.proxyland.net/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels der HTTP POST Methode unter Verwendung eines PHP Scripts.

Sende Informationen über:
    • Aus dem Diebstahl-Bereich gesammelte Informationen
    • Information über das Windows Betriebsystem

Diebstahl Es wird versucht folgende Information zu klauen:
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
• https://www.e-gold.com/acct/login.html

– Aufgezeichnet wird:
• Anmeldeinformation

Injektion – Es injiziert folgende Datei in einen Prozess: %SYSDIR%\hdtvu6.dll

    Prozessname:
   • %jeder neu gestartete Prozess nachdem die Malware aktiv im Speicher
      ist%

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• FSG

Die Beschreibung wurde erstellt von Teodor Onisor am Dienstag, 19. September 2006
Die Beschreibung wurde geändert von Teodor Onisor am Mittwoch, 20. September 2006

zurück . . . .