Name:TR/Hijack.Explor.1
Entdeckt am:28/06/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:45.056 Bytes
MD5 Prüfsumme:f508e5a83c339e32a4e0d1185873dea2
VDF Version:6.35.00.88
IVDF Version:6.35.00.99 - Freitag, 30. Juni 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Proxy.Win32.Small.ez
   •  TrendMicro: TROJ_SMALL.DEF
   •  F-Secure: Trojan-Proxy.Win32.Small.ez
   •  Grisoft: Proxy.FRE
   •  Eset: Win32/Agent.PA


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\svcroot.exe

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "svcroot"="%SYSDIR%\scvroot.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "svcroot"="%SYSDIR%\svcroot.exe"



Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Shell"="Explorer.exe"
   Neuer Wert:
   • "Shell"="Explorer.exe svcroot.exe"

 Hintertür Die folgenden Ports werden geöffnet:

– iexplore.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.
– iexplore.exe am TCP Port 5050 um eine Shell zur Verfügung zu stellen.


Kontaktiert Server:
Den folgenden:
   • http://www.site.ru/socks/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.


Sende Informationen über:
    • Computername
    • Prozessorgeschwindigkeit
    • Arbeitszeit der Malware
    • Geöffneter Port
    • Größe des Speichers
    • Benutzername
    • Information über das Windows Betriebsystem

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • iexplore.exe

   War dies erfolgreich so beendet sich der Prozess der Malware wobei der injizierte Teil aktiv bleibt.

 Rootkit Technologie Versteckt folgendes:
– Eigene Registryschlüssel


Eingesetzte Methode:
    • Unsichtbar von Windows API

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Adriana Popa am Mittwoch, 25. Oktober 2006
Die Beschreibung wurde geändert von Adriana Popa am Mittwoch, 25. Oktober 2006

zurück . . . .