Name:TR/Click.AU
Entdeckt am:28/09/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:11.109 Bytes
MD5 Prüfsumme:e87f0271ce34b9f9491b6fd95c2e14a4
VDF Version:6.36.00.60
IVDF Version:6.36.00.73 - Montag, 2. Oktober 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: Downloader-AYN
   •  Kaspersky: Trojan-Downloader.Win32.Nurech.c
   •  TrendMicro: PAK_Generic.002
   •  F-Secure: W32/Small.DUU
   •  Sophos: Troj/Dloadr-ANX
   •  Eset: Win32/TrojanDownloader.Agent.NHA


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\upnp.exe




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://www.zxcvz.com/**********
Diese wird lokal gespeichert unter: %temporary internet files%\Content.IE5\%zufällig ausgewähltes Verzeichnis%\c.php Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "np"="%SYSDIR%\upnp.exe"



Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\unker]
– [HKCU\Software\unker\%ausgeführte Datei%]
– [HKCU\Software\unker\%ausgeführte Datei%\main]
   • "cid"=%Hex Werte%

– [HKCU\Software\unker\upnp]
– [HKCU\Software\unker\upnp\main]
   • "cid"=%Hex Werte%

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://www.zxcvz.com/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.


Sende Informationen über:
    • Aktueller Malware Status

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • ewffefewfwjioIJOJIojioerjiogryivctyxrtio

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • FSG

Die Beschreibung wurde erstellt von Monica Ghitun am Donnerstag, 28. September 2006
Die Beschreibung wurde geändert von Adriana Popa am Freitag, 17. November 2006

zurück . . . .