Name:TR/Agent.AKB.2
Entdeckt am:18/10/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:646.419 Bytes
MD5 Prüfsumme:1c3569b0b1a18f7d627e7a75d83e473b
VDF Version:6.36.00.127
IVDF Version:6.36.00.144 - Freitag, 20. Oktober 2006

 General Alias:
   •  Kaspersky: Backdoor.Win32.VB.awr


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Blockiert Zugriff auf verschiedene Webseiten
   • Terminierung von Sicherheitsprogrammen
   • Erstellt eine Datei
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\svchost.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %WINDIR%\MSWINSCK.OCX

%WINDIR%\offlog.txt Diese Datei enthält gesammelte Tastatureingaben.

 Registry Die folgenden Registryschlüssel werden in einer Endlosschleife fortlaufen hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {C010EB0F-A43D-A989-FF0A-C6CF6D0D5EB3}
   • "StubPath"="%WINDIR%\scvhost.exe"



Folgender Registryschlüssel wird geändert:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
   Alter Wert:
   • "DisableRegistryTools"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableRegistryTools"=dword:00000001

 Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall werden die bestehenden Einträge gelöscht.

– Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • dl1.avgate.net
   • dl2.avgate.net
   • dl3.avgate.net
   • dl4.avgate.net
   • dl5.avgate.net
   • dl6.avgate.net
   • dl7.avgate.net
   • dl8.avgate.net
   • dl9.avgate.net


 Prozess Beendigung  Liste der Dienste die beendet werden:
   • NOD32krn
   • navapsvc
   • AntiVirService
   • antivir

 Hintertür Kontaktiert Server:
Den folgenden:
   • exclusive72.no-ip.**********:1338

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

 Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter

– Aufgezeichnet wird:
    • Tastaturanschläge

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Bogdan Iliuta am Montag, 30. Oktober 2006
Die Beschreibung wurde geändert von Bogdan Iliuta am Mittwoch, 15. November 2006

zurück . . . .