Name:TR/Spy.Vundo.AF
Entdeckt am:23/03/2007
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigröße:281.652 Bytes
VDF Version:6.37.01.147
IVDF Version:6.37.01.154 - Freitag, 23. Februar 2007

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Alias:
   •  Grisoft: Downloader.Zlob.FC


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %Verzeichnis in dem die Malware ausgeführt wurde%\%zufällige Buchstabenkombination%.tmp
   • %Verzeichnis in dem die Malware ausgeführt wurde%\%zufällige Buchstabenkombination%.ini

 Registry Es wird ein browser helper object (BHO) registriert indem folgender key hinzugefügt wird:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{%generierter CLSID%}]


Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %Malware DLL%]
   • Asynchronous = dword:00000001
   • DllName = %Verzeichnis in dem die Malware ausgeführt wurde%\%Malware DLL%
   • Impersonate = dword:00000000
   • Startup = SysLogon
   • Logoff = SysLogoff

– [HKCR\CLSID\{%generierter CLSID%}]

– [HKCR\CLSID\{%generierter CLSID%}\InprocServer32]
   • @ = %Verzeichnis in dem die Malware ausgeführt wurde%\%Malware DLL%
   • ThreadingModel = Both

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://white**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Gherman am Dienstag, 13. März 2007
Die Beschreibung wurde geändert von Andrei Gherman am Dienstag, 13. März 2007

zurück . . . .