Name:TR/Dldr.Agent.dne
Entdeckt am:21/09/2007
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:7.168 Bytes
MD5 Prüfsumme:119907ad8248b2e06461d782ea93c00B
IVDF Version:6.39.01.161 - Freitag, 21. September 2007

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  F-Secure: Trojan-Downloader.Win32.Agent.dne
   •  Sophos: Troj/DwnLdr-GXX
   •  Grisoft: Downloader.Agent.STQ


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt Dateien herunter
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Registry Es wird ein browser helper object (BHO) registriert indem folgende keys hinzugefügt werden:

– [HKCR\CLSID\{3F6D54BB-34EE-4469-B094-86B09E53BCF8}]
   • @ = H

– [HKCR\CLSID\{3F6D54BB-34EE-4469-B094-86B09E53BCF8}\InprocServer32]
   • @ = %Malware DLL%
   • ThreadingModel = Apartment

– [HKCR\CLSID\{3F6D54BB-34EE-4469-B094-86B09E53BCF8}\ProgID]
   • @ = H.1

– [HKCR\CLSID\{3F6D54BB-34EE-4469-B094-86B09E53BCF8}\TypeLib]
   • @ = {71FC19DC-CEEC-45dc-B303-A85633166864}"

 Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://**********oso.com/newuser.php
   • http://**********oso.com/comm.php

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels der HTTP GET und POST Methode unter Verwendung eines PHP Scripts.
Die Antwort der Servers wird in folgende Datei geschrieben: %SYSDIR%\comm.xml


Sende Informationen über:
    • Aktueller Malware Status


Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Datei ausführen

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Andrei Gherman am Montag, 24. September 2007
Die Beschreibung wurde geändert von Andrei Gherman am Montag, 24. September 2007

zurück . . . .