Name:TR/Agent.VG.8
Entdeckt am:06/10/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:18.432 Bytes
MD5 Prüfsumme:b00760a27528fe13c8750497f3be2b91
VDF Version:6.36.00.80
IVDF Version:6.36.00.96 - Donnerstag, 12. Oktober 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: BackDoor-CVT
   •  Kaspersky: Trojan.Win32.Agent.aae
   •  F-Secure: Trojan.Win32.Agent.aae
   •  VirusBuster: Trojan.Agent.EPL
   •  Bitdefender: Trojan.Agent.YN


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine Datei
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\win%zufällige Buchstabenkombination%32.dll



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

%SYSDIR%\wineak32.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.



Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe
unter Zuhilfenahme folgender Kommandozeilen-Parameter: -embedding

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   win%zufällige Buchstabenkombination%32]
   • "Asynchronous"=dword:00000001
   • "DllName"="win%zufällige Buchstabenkombination%32.dll"
   • "Impersonate"=dword:00000000
   • "Startup"="EvtStartup"
   • "Shutdown"="EvtShutdown"

– [HKLM\SOFTWARE\Microsoft\MSSMGR]
   • "Data"=dword:01c2a630
   • "LSTV"=%Hex Werte%
   • "Brnd"=dword:0000030b
   • "Rid"=dword:000000cd
   • "LID"=dword:0000003a
   • "SCLIST"=%Hex Werte%
   • "SSLIST"=%Hex Werte%

 Hintertür Kontaktiert Server:
Alle der folgenden:
   • here4search.biz/img/**********
   • smart-security.biz/img/**********
   • l.mezzicodec.net/a412/**********
   • dr.mcboo.com/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.


Sende Informationen über:
    • Aktueller Malware Status
    • Arbeitszeit der Malware


Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Datei ausführen

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Adriana Popa am Montag, 13. November 2006
Die Beschreibung wurde geändert von Adriana Popa am Montag, 13. November 2006

zurück . . . .