Vollständige Virenbeschreibung

Name:	TR/PSW.Lmir.51944
Entdeckt am:	11/09/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	51.963 Bytes
MD5 Prüfsumme:	d72a7db27962cdb93efb82737ef6cdaf
VDF Version:	6.35.01.208
IVDF Version:	6.35.01.212 - Dienstag, 12. September 2006

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: PWS-WoW trojan
   • Kaspersky: Trojan-PSW.Win32.WOW.ih
   • TrendMicro: TSPY_WOW.LW
   • F-Secure: Trojan-PSW.Win32.WOW.ih

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\LSASS.exe
   • %PROGRAM FILES%\Internet Explorer\INTEXPLORE.com
   • %PROGRAM FILES%\Common Files\INTEXPLORE.pif
   • %WINDIR%\EXERT.exe
   • %SYSDIR%\MSCONFIG.COM
   • %SYSDIR%\dxdiag.com
   • %SYSDIR%\regedit.com
   • %WINDIR%\Debug\DebugProgram.exe
   • D:\command.com

Es wird folgende Datei erstellt:

– D:\autorun.inf

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ToP"="%WINDIR%\LSASS.exe"

Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\WindowFiles]
– [HKCR\WindowFiles\DefaultIcon]
   • @="%1"

– [HKCR\WindowFiles\Shell]
– [HKCR\WindowFiles\Shell\Open]
– [HKCR\WindowFiles\Shell\Open\Command]
   • @="%WINDIR%\EXERT.exe "%1" %*"

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
   Alter Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Neuer Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" -nohome"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Alter Wert:
   • "Check_Associations"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Check_Associations"="No"

– [HKCR\Applications\iexplore.exe\shell\open\command]
   Alter Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   Neuer Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" %1"

– [HKCR\CLSID\{%CLSID%}\shell\OpenHomePage\Command]
   Alter Wert:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe"
   Neuer Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com""

– [HKCR\ftp\shell\open\command]
   Alter Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   Neuer Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" %1"

– [HKCR\htmlfile\shell\open\command]
   Alter Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Neuer Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" -nohome"

– [HKCR\htmlfile\shell\opennew\command]
   Alter Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   Neuer Wert:
   • @=""%PROGRAM FILES%\common~1\INTEXPLORE.pif" %1"

– [HKCR\http\shell\open\command]
   Alter Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Neuer Wert:
   • @=""%PROGRAM FILES%\common~1\INTEXPLORE.pif" -nohome"

– [HKLM\SOFTWARE\Classes\http\shell\open\command]
   Alter Wert:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Neuer Wert:
   • @=""%PROGRAM FILES%\common~1\INTEXPLORE.pif" -nohome"

– [HKCR\.exe]
   Alter Wert:
   • @="exefile"
   Neuer Wert:
   • @="WindowFiles"

Prozess Beendigung Prozesse mit einer der folgenden Zeichenketten werden beendet:
• MMSK; RAVMON; TROJDIE; KPOP; CCENTER; ASSISTSE; KPFW; AGENTSVR; KV;
KREG; IEFIND; IPARMOR; SVI.EXE; UPHC; RULEWIZE; FYGT; RFWSRV; RFWMA

Diebstahl Es wird versucht folgende Information zu klauen:

– Passwörter folgender Programme:
   • World of old oriental legends
   • World of Warcraft
   • Zhengtu

– Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • us.logon.worldofwarcraft.com
   • eu.logon.worldofwarcraft.com
   • tw.logon.worldofwarcraft.com

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Adriana Popa am Montag, 25. September 2006
Die Beschreibung wurde geändert von Adriana Popa am Montag, 25. September 2006

zurück . . . .