Name:TR/Vundo.AH
Entdeckt am:05/03/2007
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigröße:~282.212 Bytes
VDF Version:6.37.01.191
IVDF Version:6.37.01.197 - Montag, 5. März 2007

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %Verzeichnis in dem die Malware ausgeführt wurde%\%zufällige Buchstabenkombination%.tmp
   • %Verzeichnis in dem die Malware ausgeführt wurde%\%zufällige Buchstabenkombination%.ini

 Registry Es wird ein browser helper object (BHO) registriert indem folgender key hinzugefügt wird:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
   • Browser Helper Objects\{%generierter CLSID%}]



Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %Malware DLL%]
   • Asynchronous = dword:00000001
   • DllName = %Verzeichnis in dem die Malware ausgeführt wurde%\%Malware DLL%
   • Impersonate = dword:00000000
   • Startup = SysLogon
   • Logoff = SysLogoff

– [HKCR\CLSID\{%generierter CLSID%}]
– [HKCR\CLSID\{%generierter CLSID%}\InprocServer32]
   • @ = %Verzeichnis in dem die Malware ausgeführt wurde%\%Malware DLL%
   • ThreadingModel = Both

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://whitesc**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Cristian Dobre am Montag, 19. März 2007
Die Beschreibung wurde geändert von Andrei Gherman am Montag, 19. März 2007

zurück . . . .