Name:TR/PSW.Small.BS.1
Entdeckt am:12/09/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:40.960 Bytes
MD5 Prüfsumme:e749eb17826b0Ec9671d21be9160ab86
VDF Version:6.35.01.216
IVDF Version:6.35.01.220 - Mittwoch, 13. September 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-PSW.Win32.Small.bs
   •  Sophos: Troj/PWS-HP
   •  Bitdefender: Trojan.PSW.Small.B


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine Datei
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\9129837.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

%WINDIR%\hide_evr2.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Small.BS.3

%Verzeichnis in dem die Malware ausgeführt wurde%\a.bat Diese Batchdatei wird genutzt um eine Datei zu löschen.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\9129837.exe"



Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000000
     "ImagePath"=\??\%WINDIR%\hide_evr2.sys
     "DisplayName"="!!!!"

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Enum]
   • "0"="Root\\LEGACY_HIDE_EVR2\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=%zufällige Buchstabenkombination%
   • "k2"=%zufällige Buchstabenkombination%

 Hintertür Der folgende Port wird geöffnet:
an einem zufälligen UDP port um Backdoor Funktion zur Verfügung zu stellen.


Kontaktiert Server:
Alle der folgenden:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels der HTTP GET und POST Methode unter Verwendung eines PHP Scripts.


Sende Informationen über:
    • Aktueller Malware Status
    • Aus dem Diebstahl-Bereich gesammelte Informationen

 Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter

– Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
   • %jede Webseite mit Login-Formular%

– Aufgezeichnet wird:
    • Fensterinformation
    • Browserfenster

 Rootkit Technologie Versteckt folgendes:
– Eigene Dateien
– Eigener Prozess
– Eigene Registryschlüssel


Eingesetzte Methode:
    • Unsichtbar von Windows API

Die Beschreibung wurde erstellt von Marius T. Nicolae am Donnerstag, 21. September 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Donnerstag, 19. Oktober 2006

zurück . . . .