Name:TR/Small.DBY.AF.3
Entdeckt am:14/02/2007
Art:Trojan
Nebenart:SPY
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:37.747 Bytes
MD5 Prüfsumme:8617ab4e033c0853cf1766de30cf6589
VDF Version:6.37.01.91
IVDF Version:6.37.01.92 - Mittwoch, 14. Februar 2007

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Email-Worm.Win32.Zhelatin.ab
   •  Eset: Win32/Nuwar.gen worm
   •  Bitdefender: Trojan.Peed.ET


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien

 Dateien Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %SYSDIR%\wincom32.ini

%SYSDIR%\wincom32.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Small.DBY.M.1

 Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– HKLM\System\CurrentControlSet\Services\wincom32\ImagePath
   • "\??\%SYSDIR%\wincom32.sys"

 Infektion über das Netzwerk IP Adressen Erzeugung:
Es werden zufällige IP Adressen generiert und es wird dann versuche eine Verbindung aufzubauen.

 Injektion –  Es injiziert folgende Datei in einen Prozess: wincom32.sys

    Prozessname:
   • %SYSDIR%\services.exe


 Rootkit Technologie Versteckt folgendes:
– Eigene Dateien
– Eigene Registryschlüssel


Eingesetzte Methode:
    • Unsichtbar von Windows API

Klinkt sich in folgende API-Funktionen ein:
   • ZwQueryDirectoryFile
   • ZwEnumerateKey
   • ZwEnumerateValueKey

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • PEPACK

Die Beschreibung wurde erstellt von Viktor Graeber am Mittwoch, 25. April 2007
Die Beschreibung wurde geändert von Viktor Graeber am Freitag, 27. April 2007

zurück . . . .