Name:TR/PSW.Bedruger.2
Entdeckt am:27/06/2005
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:23.184 Bytes
MD5 Prüfsumme:b49d3526ce011d76063d8081333a9ef4
VDF Version:6.31.00.112

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: PWS-MMThief
   •  Kaspersky: Trojan-Spy.Win32.Agent.ei
   •  Sophos: Trojan-Spy.Win32.Agent.ei
   •  VirusBuster: trojan TrojanSpy.Agent.QJV
   •  Bitdefender: Trojan.Spy.Agent.EI


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Verfügt über eigene Email Engine
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\SVCH0ST.EXE



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

– Nicht virulente Datei:
   • %SYSDIR%\mmdat.dat

%SYSDIR%\ntdll32.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Agent.GD

 Registry Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "SVCHOST"="%SYSDIR%\SVCH0ST.EXE"



Folgender Registryschlüssel wird geändert:

– [HKCR\exefile\shell\open\command]
   Alter Wert:
   • @="\"%1\" %*"
   Neuer Wert:
   • @="%SYSDIR%\SVCH0ST.EXE %1 %*"

 Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.
Der Absender der Email ist folgender:
   • mimathief@mimathief.com


An:
Der Empfänger der Email ist folgender:
   • vicimax@163.com


Betreff:
Folgende:
   • %chinesischer Text%



Body:

 
Der Body der Email ist folgender:

   • %chinesischer Text%: %gestohlene Infromation%
     %besuchte URL%
     %chinesischer Text%: %gestohlene Infromation%
     %chinesischer Text%: %gestohlene Infromation%



Die Email sieht wie folgt aus:


 Versand MX Server:
Es verwendet nicht den Standard MX Server.
Es besitzt die Fähigkeit folgenden MX Server zu kontaktieren:
   • 163.com

 Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter

– Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
   • %jede Webseite mit Login-Formular%

– Aufgezeichnet wird:
    • Fensterinformation
    • Browserfenster
    • Anmeldeinformation

 Injektion –  Es injiziert folgende Datei in einen Prozess: %SYSDIR%\ntdll32.dll

    Prozessname:
   • %alle laufenden Prozesse%


 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • MimaThief

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • PEcompact

Die Beschreibung wurde erstellt von Gabriel Mustata am Freitag, 10. November 2006
Die Beschreibung wurde geändert von Gabriel Mustata am Donnerstag, 16. November 2006

zurück . . . .