Vollständige Virenbeschreibung

Name:	TR/PSW.Small.bs
Entdeckt am:	08/01/2007
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	19.240 Bytes
MD5 Prüfsumme:	73dc2446341699857aaf39489508f7d7
VDF Version:	6.36.00.023
IVDF Version:	6.36.00.033

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: FormSpy
   • Kaspersky: Trojan-PSW.Win32.Small.bs
   • Sophos: Mal/Behav-044
   • Grisoft: PSW.Generic2.REJ
   • Eset: Win32/PSW.Small.NAD
   • Bitdefender: Generic.Malware.SBg.56DBD99F

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt eine Datei
   • Erstellt eine potentiell gefährliche Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\9129837.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es werden folgende Dateien erstellt:

– %Verzeichnis in dem die Malware ausgeführt wurde%\a.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.
– %WINDIR%\hide_evr2.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Small.bs.SYS

Registry Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\9129837.EXE"

Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Security]
   • "Security"=%Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000000
     "ImagePath"="\??\%WINDIR%\hide_evr2.sys"
     "DisplayName"="!!!!"

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Enum]
   • "0"="Root\\LEGACY_HIDE_EVR2\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=%Hexadezimale Zahl%
   • "k2"=%Hexadezimale Zahl%

Folgender Registryschlüssel wird geändert:

Deaktiviere Windows Firewall:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Alter Wert:
   • "Start"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Start"=dword:00000004

Hintertür Der folgende Port wird geöffnet:

– %WINDIR%\9129837.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.

Kontaktiert Server:
Alle der folgenden:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels der HTTP GET und POST Methode unter Verwendung eines PHP Scripts.

Sende Informationen über:
    • Versteckte Passwörter
    • Aktueller Malware Status
    • Geöffneter Port
    • Aus dem Diebstahl-Bereich gesammelte Informationen
    • Benutzername
    • besuchte URLs

Möglichkeiten der Fernkontrolle:
    • Datei Hinaufladen

Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter

– Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
• %jede Webseite mit Login-Formular%

– Aufgezeichnet wird:
• Anmeldeinformation

Diverses Internetverbindung:

Eine Namensabfrage mit folgenden Domains wird durchgeführt:
• mc-in-f99.google.com
• ip-147-107.rbnnetwork.com

Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.

Versteckt folgendes:
– Eigener Prozess

– Die folgenden Dateien:
   • %WINDIR%\9129837.exe
   • %WINDIR%\hide_evr2.sys

– Der folgende Registrywert:
   • ttool

Eingesetzte Methode:
    • Unsichtbar von Windows API

Klinkt sich in folgende API-Funktionen ein:
   • NtEnumerateValueKey/ZwEnumerateValueKey
   • NtQueryDirectoryFile/ZwQueryDirectoryFile
   • NtQuerySystemInformation/RtIGetNativeSystemInformation/ZqQuerySystemInformation

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Monica Ghitun am Montag, 8. Januar 2007
Die Beschreibung wurde geändert von Monica Ghitun am Dienstag, 9. Januar 2007

zurück . . . .