Name:TR/Zlob.65745.7
Entdeckt am:25/10/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:82.528 Bytes
MD5 Prüfsumme:1a9aee5d6c192efb9d5530f9168c8512
VDF Version:6.36.00.166
IVDF Version:6.36.00.184 - Montag, 30. Oktober 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  F-Secure: Trojan-Downloader.Win32.Zlob.asq
   •  Eset: Win32/TrojanDownloader.Zlob.AGA


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry


Nach Aktivierung werden folgende Informationen angezeigt:



 Dateien  Es wird folgendes Verzeichnis erstellt:
   • %PROGRAM FILES%\PornMag Pass



Es werden folgende Dateien erstellt:

%PROGRAM FILES%\PornMag Pass\PornMagPass.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Zlob.65745.7

%PROGRAM FILES%\PornMag Pass\uninst.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Zlob.65745.7

%PROGRAM FILES%\PornMag Pass\PornMag Pass.url



Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://85.255.118.2/ultra/php/install/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\laf%Hexadezimale Zahl%.tmp Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

– Die URL ist folgende:
   • http://yourguardonline.biz/**********
Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

– Die URL ist folgende:
   • http://85.255.118.2/ultra/php/install/**********
Diese wird lokal gespeichert unter: %TEMPDIR%\laf%Hexadezimale Zahl%.tmp Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Registry Der Wert des folgenden Registry keys wird gelöscht:

–  [HKCU\Software\Internet Security]
   • "65010"



Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   PornMag Pass]
   • "ProductionEnvironment"="1"
   • "DisplayName"="PornMag Pass 1.0"
   • "UninstallString"="%PROGRAM FILES%\PornMag Pass\uninst.exe"
   • "DisplayIcon"="%PROGRAM FILES%\PornMag Pass\uninst.exe"
   • "DisplayVersion"="1.0"
   • "URLInfoAbout"="http://www.pornmagpass.com"
   • "Publisher"="PornMag Pass Inc."

– [HKCU\Software\Internet Security]
   • "Type"=dword:00000001
   • "Path"="%PROGRAM FILES%\PornMag Pass"
   • "Removable"=dword:00000000
   • "65005"=dword:00000001

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Adriana Popa am Mittwoch, 6. Dezember 2006
Die Beschreibung wurde geändert von Adriana Popa am Mittwoch, 6. Dezember 2006

zurück . . . .