Name:TR/Zlob.65745.9
Entdeckt am:25/10/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:60.905 Bytes
MD5 Prüfsumme:e948d9ab21d0f1b1bdb3ba8af1c704c9
VDF Version:6.36.00.166
IVDF Version:6.36.00.184 - Montag, 30. Oktober 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  F-Secure: Trojan-Downloader.Win32.Zlob.yo
   •  Eset: Win32/TrojanDownloader.Zlob.AGA


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry


Nach Aktivierung werden folgende Informationen angezeigt:



 Dateien  Es wird folgendes Verzeichnis erstellt:
   • %PROGRAM FILES%\PornPass Manager



Es werden folgende Dateien erstellt:

%PROGRAM FILES%\PornPass Manager\pornpassmanager.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Zlob.65745.9

%PROGRAM FILES%\PornPass Manager\uninst.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Zlob.65745.9

%PROGRAM FILES%\PornPass Manager\PornPassManager.exe.manifest
%PROGRAM FILES%\PornPass Manager\PornPass Manager.url



Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://85.255.118.2/ultra/php/install/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\laf%Hexadezimale Zahl%.tmp Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

– Die URL ist folgende:
   • http://yourguardonline.biz/**********
Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

– Die URL ist folgende:
   • http://85.255.118.2/ultra/php/install/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\laf%Hexadezimale Zahl%.tmp Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Registry Der Wert des folgenden Registry keys wird gelöscht:

–  [HKCU\Software\Internet Security]
   • "65010"



Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   PornPass Manager]
   • "ProductionEnvironment"="1"
   • "DisplayName"="PornPass Manager 5.0"
   • "UninstallString"="%PROGRAM FILES%\PornPass Manager\uninst.exe"
   • "DisplayIcon"="%PROGRAM FILES%\PornPass Manager\uninst.exe"
   • "DisplayVersion"="5.0"
   • "URLInfoAbout"="http://www.pornpassmanager.com"
   • "Publisher"="PornPass Manager Inc."

– [HKCU\Software\Internet Security]
   • "Type"=dword:00000001
   • "Path"="%PROGRAM FILES%\PornPass Manager"
   • "Removable"=dword:00000000
   • "65005"=dword:00000001

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Adriana Popa am Dienstag, 5. Dezember 2006
Die Beschreibung wurde geändert von Adriana Popa am Dienstag, 5. Dezember 2006

zurück . . . .