Vollständige Virenbeschreibung

Name:	TR/PSW.WOW.IG
Entdeckt am:	14/09/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	50.635 Bytes
MD5 Prüfsumme:	978b05d430901e0ee30d5a9ef7c0357f
VDF Version:	6.36.00.7
IVDF Version:	6.36.00.17 - Freitag, 15. September 2006

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: PWS-Legmir
   • Kaspersky: Trojan-PSW.Win32.WOW.ig
   • TrendMicro: TSPY_LEGMIR.ABJ
   • F-Secure: Trojan-PSW.Win32.WOW.ig

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\WINLOGON.EXE
   • %SYSDIR%\rundll32.com
   • %SYSDIR%\finder.com
   • %SYSDIR%\command.pif
   • %WINDIR%\finder.com
   • %PROGRAM FILES%\Internet Explorer\iexplore.com
   • %PROGRAM FILES%\Common Files\iexplore.pif
   • %WINDIR%\explorer.com
   • %WINDIR%\1.com
   • %WINDIR%\ExERoute.exe
   • %SYSDIR%\MSCONFIG.COM
   • %SYSDIR%\dxdiag.com
   • %SYSDIR%\regedit.com
   • %WINDIR%\DebugDebugProgram.exe
   • d:\pagefile.sys

Es wird folgende Datei erstellt:

– d:\autorun.inf

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Torjan Program"="%WINDIR%\WINLOGON.EXE"

Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\winfiles]
– [HKCR\winfiles\DefaultIcon]
   • @="%1"

– [HKCR\winfiles\Shell\Open\Command]
   • @="%WINDIR%\ExERoute.exe "%1" %*"

Folgende Registryschlüssel werden geändert:

– [HKCR\.exe]
   Alter Wert:
   • @="exefile"
   Neuer Wert:
   • @="winfiles"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Alter Wert:
   • "Check_Associations"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Check_Associations"="No"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Shell"="Explorer.exe"
   Neuer Wert:
   • "Shell"="Explorer.exe 1"

– [HKCR\.lnk\ShellNew]
   Alter Wert:
   • "Command"="rundll32.exe appwiz.cpl,NewLinkHere %1"
   Neuer Wert:
   • "Command"="rundll32.com appwiz.cpl,NewLinkHere %1"

– [HKCR\.bfc\ShellNew]
   Alter Wert:
   • "Command"="%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1"
   Neuer Wert:
   • "Command"="%SystemRoot%\system32\rundll32.com %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1"

– [HKCR\cplfile\shell\cplopen\command]
   Alter Wert:
   • @="rundll32.exe shell32.dll,Control_RunDLL %1,%*"
   Neuer Wert:
   • @="rundll32.com shell32.dll,Control_RunDLL %1,%*"

– [HKCR\dunfile\shell\open\command]
   Alter Wert:
   • @="%SystemRoot%\system32\rundll32.exe NETSHELL.DLL,InvokeDunFile %1"
   Neuer Wert:
   • @="%SystemRoot%\system32\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

– [HKCR\htmlfile\shell\print\command]
   Alter Wert:
   • @="rundll32.exe %SystemRoot%\System32\mshtml.dll,PrintHTML "%1""
   Neuer Wert:
   • @="rundll32.com %SystemRoot%\System32\mshtml.dll,PrintHTML "%1""

– [HKCR\inffile\shell\Install\command]
   Alter Wert:
   • @="%SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
   Neuer Wert:
   • @="%SystemRoot%\System32\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"

– [HKCR\InternetShortcut\shell\open\command]
   Alter Wert:
   • @="rundll32.exe shdocvw.dll,OpenURL %l"
   Neuer Wert:
   • @="finder.com shdocvw.dll,OpenURL %l"

– [HKCR\scrfile\shell\install\command]
   Alter Wert:
   • @="rundll32.exe desk.cpl,InstallScreenSaver %l"
   Neuer Wert:
   • @="finder.com desk.cpl,InstallScreenSaver %l"

– [HKCR\scriptletfile\Shell\Generate Typelib\command]
   Alter Wert:
   • @=""%SYSDIR%\RUNDLL32.EXE" %SYSDIR%\scrobj.dll,GenerateTypeLib "%1""
   Neuer Wert:
   • @=""%SYSDIR%\finder.com" %SYSDIR%\scrobj.dll,GenerateTypeLib "%1""

– [HKCR\telnet\shell\open\command]
   Alter Wert:
   • @="rundll32.exe url.dll,TelnetProtocolHandler %l"
   Neuer Wert:
   • @="finder.com url.dll,TelnetProtocolHandler %l"

– [HKCR\Unknown\shell\openas\command]
   Alter Wert:
   • @="%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"
   Neuer Wert:
   • @="%SystemRoot%\system32\finder.com %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"

– [HKLM\SOFTWARE\Classes\dunfile\shell\open\command]
   Alter Wert:
   • @="%SystemRoot%\system32\RUNDLL32.EXE NETSHELL.DLL,InvokeDunFile %1"
   Neuer Wert:
   • @="%SystemRoot%\system32\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

– [HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command]
   Alter Wert:
   • @="rundll32.exe shdocvw.dll,OpenURL %l"
   Neuer Wert:
   • @="finder.com shdocvw.dll,OpenURL %l"

– [HKLM\SOFTWARE\Classes\scrfile\shell\install\command]
   Alter Wert:
   • @="rundll32.exe desk.cpl,InstallScreenSaver %l"
   Neuer Wert:
   • @="finder.com desk.cpl,InstallScreenSaver %l"

– [HKLM\SOFTWARE\Classes\Unknown\shell\openas\command]
   Alter Wert:
   • @="%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"
   Neuer Wert:
   • @="%SystemRoot%\system32\finder.com %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"

– [HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
   Alter Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Neuer Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.com" -nohome"

– [HKCR\Applications\iexplore.exe\shell\open\command]
   Alter Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   Neuer Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.com" %1"

– [HKCR\CLSID\%CLSID%\shell\OpenHomePage\Command]
   Alter Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe""
   Neuer Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.com""

– [HKCR\ftp\shell\open\command]
   Alter Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   Neuer Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.com" %1"

– [HKCR\htmlfile\shell\open\command]
   Alter Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Neuer Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.com" -nohome"

– [HKCR\htmlfile\shell\opennew\command]
   Alter Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   Neuer Wert:
   • @=""%PROGRAM FILES%\common~1\iexplore.pif" %1"

– [HKCR\http\shell\open\command]
   Alter Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Neuer Wert:
   • @=""%PROGRAM FILES%\common~1\iexplore.pif" -nohome"

– [HKLM\SOFTWARE\Classes\http\shell\open\command]
   Alter Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Neuer Wert:
   • @=""%PROGRAM FILES%\common~1\iexplore.pif" -nohome"

– [HKCR\Drive\shell\find\command]
   Alter Wert:
   • @="%SystemRoot%\Explorer.exe"
   Neuer Wert:
   • @="%SystemRoot%\explorer.com"

Prozess Beendigung Prozesse mit einer der folgenden Zeichenketten werden beendet:
   • CCENTER; ASSISTSE; KPFW; AGENTSVR; KV; KREG; IEFIND; IPARMOR; SVI.EXE;
      UPHC; RULEWIZE; FYGT; RFWSRV; RFWMA; TROJAN; MMSK; RAVMON; TROJDIE;
      KPOP

Diebstahl Es wird versucht folgende Information zu klauen:

– Passwörter folgender Programme:
   • The Legend of Mir
   • The World of Legend
   • World of Warcraft

– Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • us.logon.worldofwarcraft.com
   • eu.logon.worldofwarcraft.com
   • tw.logon.worldofwarcraft.com

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• NSPack

Die Beschreibung wurde erstellt von Adriana Popa am Mittwoch, 20. September 2006
Die Beschreibung wurde geändert von Adriana Popa am Donnerstag, 21. September 2006

zurück . . . .

PC Schutz

Gratis-Produkte

Beliebteste Produkte

Alle Produkte

Bundle-Lösungen

Arbeitsplatzrechner

Server

Bundle-Lösungen

Mail Gateways

Web Gateways

Kollaborationsplattformen

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools