Name:TR/Agent.NL.21
Entdeckt am:11/09/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:82.944 Bytes
MD5 Prüfsumme:4e19ffc16eaca8513df29d1489e69396
VDF Version:6.35.01.208
IVDF Version:6.35.01.212 - Dienstag, 12. September 2006

 General Alias:
   •  Kaspersky: Trojan.Win32.Agent.nl


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Explorer 2238"=%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%



Die Werte der folgenden Registry keys werden gelöscht:

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DCOM Server
–  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DCOM Server


Folgende Registryschlüssel werden hinzugefügt:

– HKLM\SOFTWARE\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2238}\
   InProcServer32
   • "(Default)""=%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%
   • "ThreadingModel"="Apartment"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   SharedTaskScheduler
   • "{2C1CD3D7-86AC-4068-93BC-A02304BB2238}"="DCOM Server 2238"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad
   • "DCOM Server 2238"="{2C1CD3D7-86AC-4068-93BC-A02304BB2238}"

 Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall bleiben bestehende Einträge erhalten.

– Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • www.trendmicro.com; rads.mcafee.com; customer.symantec.com;
      liveupdate.symantec.com; us.mcafee.com; updates.symantec.com;
      www.nai.com; secure.nai.com; dispatch.mcafee.com; download.mcafee.com;
      www.my-etrust.com; mast.mcafee.com; ca.com; www.ca.com;
      networkassociates.com; www.networkassociates.com; avp.com;
      www.kaspersky.com; www.avp.com; downloads4.kaspersky-labs.com;
      downloads3.kaspersky-labs.com; downloads2.kaspersky-labs.com;
      downloads1.kaspersky-labs.com; www.f-secure.com; viruslist.com;
      www.viruslist.com; liveupdate.symantecliveupdate.com; www.mcafee.com;
      sophos.com; www.sophos.com; securityresponse.symantec.com;
      www.symantec.com


 Hintertür Der folgende Port wird geöffnet:

%ausgeführte Datei% an einem zufälligen TCP port


Kontaktiert Server:
Den folgenden:
   • 208.66.195**********:2238



Möglichkeiten der Fernkontrolle:
    • DCOM deaktivieren
    • Datei herunterladen
    • Emails verschicken

 Diverses Mutex:
Es werden folgende Mutexe erzeugt:
   • hs5pdllv42238
   • hs5p_av_mutex

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Bogdan Iliuta am Montag, 2. Oktober 2006
Die Beschreibung wurde geändert von Bogdan Iliuta am Freitag, 27. Oktober 2006

zurück . . . .