Name:TR/Virtumonde.26730
Entdeckt am:02/04/2007
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:26730 Bytes
MD5 Prüfsumme:731396df61f1cedc2b70ab33ebb0c0b3
VDF Version:6.38.00.161
IVDF Version:6.38.00.165 - Dienstag, 3. April 2007

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\%fünfstellige zufällige Buchstabenkombination%.dll




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://89.188.16.15/ths/lo1.dll**********
Diese wird lokal gespeichert unter: %SYSDIR%\%fünfstellige zufällige Buchstabenkombination%.dll Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\
   Settings]
   • "Time"=%aktuelle Zeit%

– [HKCR\CLSID\{E44527F6-1296-4A84-B67D-A6CEA6ED4B69}\InprocServer32]
   • @="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"
   • "ThreadingModel"="Both"

– [HKCU\Software\Microsoft\Installer]
   • @=%Hexadezimale Zahl%

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{E44527F6-1296-4A84-B67D-A6CEA6ED4B69}"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %ausgeführte Datei%]
   • "Asynchronous"=dword:00000001
   • "DllName"="%ausgeführte Datei%"
   • "Impersonate"=dword:00000000
   • "Logon"="Logon"
   • "Logoff"="Logoff"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   • "GlobalUserOffline"=dword:00000000



Folgende Registryschlüssel werden geändert:

Verringert die Sicherheitseinstellungen des Internet Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Alter Wert:
   • "1A10"=%Einstellungen des Benutzers%
     "{A8A88C49-5EB2-4990-A1A2-0876022C854F}"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "1A10"=dword:00000000
     "{A8A88C49-5EB2-4990-A1A2-0876022C854F}"=%Hexadezimale Zahl%

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://65.243.103.80/80/67247**********&t=%aktuelles Datum%**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

 Injektion – Es injiziert sich in einen Prozess.

    Alle der folgenden Prozesse:
   • Explorer.exe
   • Winlogon.exe
   • %Prozesse mit sichtbaren Fenstern%


 Diverses Mutex:


Es werden einer der folgenden Mutexe erzeugt:
   • _ConsprMutx
   • awx_mutant

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Monica Ghitun am Donnerstag, 19. April 2007
Die Beschreibung wurde geändert von Monica Ghitun am Donnerstag, 19. April 2007

zurück . . . .