Name:TR/Agent.AAL
Entdeckt am:22/09/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:69.632 Bytes
MD5 Prüfsumme:4ed6f7364206b0ae28e1cc439102ce5b
VDF Version:6.36.00.49
IVDF Version:6.36.00.60 - Dienstag, 26. September 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Alias:
   •  Mcafee: Kimat


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine Datei
   • Erstellt schädliche Dateien
   • Änderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:



Nach Aktivierung wird ein Windows Programm gestartet welches folgendes Fenster anzeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\ISASS.exe
   • %WINDIR%\Resources\Empty.bat
   • %WINDIR%\Media\msconfig.bat
   • %WINDIR%\security\kernel32.bat
   • %WINDIR%\system32.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Temp.pif
   • %SYSDIR%\LNETINFO.exe
   • %HOME%\My Documents\Data %Name des Computers%.exe
   • %SYSDIR%\Kiamat.exe
   • %HOME%\My Documents\%alle Unterverzeichnisse%\%aktuelles Verzeichnis%.exe



Es wird folgende Datei erstellt:

%WINDIR%\security\ms.inf

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "msconfig"="%WINDIR%\Media\msconfig.bat"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Kiamat Sudah Dekat_16_04"="%SYSDIR%\ISASS.exe"



Folgender Registryschlüssel wird hinzugefügt:

– HKCU\Software\Policies\Microsoft\CurrentVersion\Policies\Explorer
   • "NoFind"=dword:00000001



Folgende Registryschlüssel werden geändert:

Deaktivieren von Regedit und Task Manager:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Neuer Wert:
   • "DisableRegistryTools"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Alter Wert:
   • "Hidden"=%Einstellungen des Benutzers%
   • "HideFileExt"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Hidden"=dword:00000002
   • "HideFileExt"=dword:00000001

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   Alter Wert:
   • "Shell"="Explorer.exe"
   Neuer Wert:
   • "Shell"="Explorer.exe "%WINDIR%\Resources\Empty.bat""

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Neuer Wert:
   • "DisableCMD"=dword:00000001

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Teodor Onisor am Dienstag, 24. Oktober 2006
Die Beschreibung wurde geändert von Oliver Auerbach am Mittwoch, 25. Oktober 2006

zurück . . . .