Name:TR/Dldr.Agent.awg.4
Entdeckt am:10/10/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:35.328 Bytes
MD5 Prüfsumme:cd0B92cc20d1cd6b308077431bc1f8cd
VDF Version:6.36.00.87
IVDF Version:6.36.00.103 - Freitag, 13. Oktober 2006

 General Aliases:
   •  Kaspersky: Trojan-Downloader.Win32.Agent.awg
   •  Sophos: Troj/CarLoad-B
   •  Bitdefender: Trojan.Downloader.Agent.AOV


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Es wird folgende Datei erstellt:

%SYSDIR%\srvc.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Agent.awg.4




Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://bebbedaacfefbde.com/b/**********
Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

– Die URL ist folgende:
   • %URL von heruntergeladener Datei%
Diese wird lokal gespeichert unter: %TEMPDIR%\%zufällige Buchstabenkombination%.tmp Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   WLogon
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000001
   • "StartShell"="Entry"
   • "DllName"="srvc.dll"

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://bebbedaacfefbde.com/b/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels der HTTP POST Methode unter Verwendung eines PHP Scripts.


Sende Informationen über:
    • Computername

 Injektion –  Es injiziert folgende Datei in einen Prozess: %SYSDIR%\srvc.dll

    Prozessname:
   • %WINDIR%\Explorer.EXE

   War dies erfolgreich so beendet sich der Prozess der Malware wobei der injizierte Teil aktiv bleibt.

 Diverses  Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
   • http://microsoft.com

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • ASPack

Die Beschreibung wurde erstellt von Bogdan Iliuta am Freitag, 10. November 2006
Die Beschreibung wurde geändert von Bogdan Iliuta am Montag, 20. November 2006

zurück . . . .