Name:ADSPY/Virtumonde.B
Entdeckt am:14/06/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:47.629 Bytes
MD5 Prüfsumme:5b00c4a26bfb132b7c5b8692949d227b
VDF Version:6.35.00.23
IVDF Version:6.35.00.29 - Donnerstag, 15. Juni 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: not-a-virus:AdWare.Win32.Virtumonde.by
   •  TrendMicro: TROJ_VUNDO.BC
   •  Bitdefender: Trojan.Virtumod.T


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine Datei
   • Erstellt eine potentiell gefährliche Datei
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

%SYSDIR%\%siebenstellige zufällige Buchstabenkombination%.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: ADSPY/Virtumonde.B

%TEMPDIR%\removalfile.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}\InprocServer32]
   • @="%SYSDIR%\%siebenstellige zufällige Buchstabenkombination%.dll"
   • "ThreadingModel"="Both"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   vtutrrq]
   • "Asynchronous"=dword:00000001
   • "DllName"="%siebenstellige zufällige Buchstabenkombination%"
   • "Impersonate"=dword:00000000
   • "Logon"="Logon"
   • "Logoff"="Logoff"

 Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://82.98.235.63/cgi-bin/check/**********
   • http://85.12.25.**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Sende Informationen über:
    • Aktueller Malware Status


Möglichkeiten der Fernkontrolle:
    • Datei herunterladen

 Injektion –  Es injiziert folgende Datei in einen Prozess: %SYSDIR%\%siebenstellige zufällige Buchstabenkombination%.dll

    Alle der folgenden Prozesse:
   • explorer.exe
   • WINLOGON.EXE


 Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.


Versteckt folgendes:
– Eigene Dateien

Die Beschreibung wurde erstellt von Marius T. Nicolae am Mittwoch, 6. September 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Dienstag, 5. Dezember 2006

zurück . . . .