Name:TR/Drop.Stration.677
Entdeckt am:26/10/2006
Art:Trojan
Nebenart:Dropper
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:109.100 Bytes
MD5 Prüfsumme:41b787a3275255e4e17360ba59cdc763
VDF Version:6.36.01.60
IVDF Version:6.36.01.63 - Dienstag, 21. November 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: W32/Stration@MM
   •  Kaspersky: Email-Worm.Win32.Warezov.dq
   •  Sophos: W32/Stratio-BW
   •  Eset: Win32/Stration.KQ

Wurde zuvor wie folgt erkannt:
   •  TR/Hijack.Explor.677


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Es werden folgende Dateien erstellt:

%SYSDIR%\audmgr32.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: WORM/Warezov.DQ

%SYSDIR%\audconf.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: WORM/Warezov.DQ.2

%SYSDIR%\audperf.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: WORM/Warezov.DQ.10

%SYSDIR%\audprf32.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: WORM/Warezov.DQ.3

%SYSDIR%\audstat.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: WORM/Warezov.DQ.6

%SYSDIR%\confaud.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: WORM/Warezov.DQ.1

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   audmgr]
   • "Asynchronous"=dword:00000000
   • "DllName"="audmgr32.dll"
   • "Impersonate"=dword:00000000
   • "Startup"="WlxStartup"
   • "Shutdown"="WlxShutdown"



Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Alter Wert:
   • "AppInit_DLLs"=""
   Neuer Wert:
   • "AppInit_DLLs"=" confaud.dll audstat.dll"

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • MEW

Die Beschreibung wurde erstellt von Monica Ghitun am Donnerstag, 26. Oktober 2006
Die Beschreibung wurde geändert von Adriana Popa am Dienstag, 21. November 2006

zurück . . . .