Name:TR/Zlob.65745.8
Entdeckt am:25/10/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:49.803 Bytes
MD5 Prüfsumme:eea22afe223ef4c31fd0442281eaae61
VDF Version:6.36.00.166
IVDF Version:6.36.00.184 - Montag, 30. Oktober 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  F-Secure: Trojan-Downloader.Win32.Zlob.aqo
   •  Grisoft: Downloader.Zlob.CX
   •  Eset: Win32/TrojanDownloader.Zlob


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry


Nach Aktivierung werden folgende Informationen angezeigt:



 Dateien  Es wird folgendes Verzeichnis erstellt:
   • %PROGRAM FILES%\VideoCompressionCodec



Es wird folgende Datei erstellt:

%PROGRAM FILES%\VideoCompressionCodec\uninst.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Zlob.65745.8




Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • 85.255.118.2/ultra/php/install/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\laf%Hexadezimale Zahl%.tmp Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde.

– Die URL ist folgende:
   • yourguardonline.biz/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\laf%Hexadezimale Zahl%.tmp Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

– Die URL ist folgende:
   • 85.255.118.2/ultra/php/install/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\laf%Hexadezimale Zahl%.tmp Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde.

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Internet Security]
   • "Type"=dword:00000003
   • "Path"="%PROGRAM FILES%\VideoCompressionCodec"
   • "Removable"=dword:00000000

– [HKCR\VSEnchancer.Chl]
– [HKCR\VSEnchancer.Chl\CLSID]
   • @="{6BF52A52-394A-11D3-B153-00C04F79FAA6}"

– [HKCR\AVZipEnchancer.Chl]
– [HKCR\AVZipEnchancer.Chl\CLSID]
   • @="{6BF52A52-394A-11D3-B153-00C04F79FAA6}"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   VideoCompressionCodec]
   • "ProductionEnvironment"="1"
   • "DisplayName"="VideoCompressionCodec 10.0"
   • "UninstallString"="%PROGRAM FILES%\VideoCompressionCodec\uninst.exe"
   • "DisplayIcon"="%PROGRAM FILES%\VideoCompressionCodec\uninst.exe"
   • "DisplayVersion"="10.0"
   • "URLInfoAbout"="www.vccodec.com"
   • "Publisher"="VideoCompressionCodec Software"

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Adriana Popa am Montag, 13. November 2006
Die Beschreibung wurde geändert von Adriana Popa am Dienstag, 21. November 2006

zurück . . . .