Name:TR/PSW.Small.BS.3
Entdeckt am:12/09/2006
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:24.236 Bytes
MD5 Prüfsumme:782aa60074ea0620b2c974bf9f17507a
VDF Version:6.35.01.216
IVDF Version:6.35.01.220 - Mittwoch, 13. September 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Alias:
   •  Mcafee: Spy-Agent.bg


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\9129837.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

%WINDIR%\hide_evr2.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Small.BS.3

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • ttool = %WINDIR%\9129837.exe



Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2]
   • Type = 1
   • Start = 3
   • ErrorControl = 0
   • ImagePath = \??\%WINDIR%\hide_evr2.sys
   • DisplayName = !!!!

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2\Security]
   • Security = %Hex Werte%

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2\Enum]
   • 0 = Root\LEGACY_HIDE_EVR2\0000
   • Count = 1
   • NextInstance = 1



Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\InetData]
   • k1 = %Hexadezimale Zahl%
   • k2 = %Hexadezimale Zahl%



Folgender Registryschlüssel wird geändert:

Deaktiviere Windows Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Alter Wert:
   • Start = %Einstellungen des Benutzers%
   Neuer Wert:
   • Start = 4

 Prozess Beendigung  Folgender Dienst wird beendet:
   • Security Center

 Hintertür Der folgende Port wird geöffnet:

%WINDIR%\9129837.exe an einem zufälligen TCP port um einen Socks5 Proxy Server zur Verfügung zu stellen.


Kontaktiert Server:
Alle der folgenden:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Sende Informationen über:
    • Versteckte Passwörter
    • Geöffneter Port
    • Aus dem Diebstahl-Bereich gesammelte Informationen


Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Datei ausführen

 Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter
– Aufgezeichnete Passwörter welche von der AutoComplete Funktion verwendet werden

 Rootkit Technologie Versteckt folgendes:
– Eigener Prozess

– Die folgenden Dateien:
   • 9129837.exe
   • hide_evr2.sys

– Der folgende Registrywert:
   • ttool


Eingesetzte Methode:
    • Unsichtbar von Windows API

Klinkt sich in folgende API-Funktionen ein:
   • NtEnumerateValueKey / ZwEnumerateValueKey
   • NtQueryDirectoryFile / ZwQueryDirectoryFile
   • NtQuerySystemInformation / RtlGetNativeSystemInformation

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Gherman am Mittwoch, 27. September 2006
Die Beschreibung wurde geändert von Andrei Gherman am Mittwoch, 27. September 2006

zurück . . . .