Name:TR/Drop.LdPinch.dvx
Entdeckt am:23/10/2007
Art:Trojan
Nebenart:Dropper / Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:28.672 Bytes
MD5 Prüfsumme:67f88bf5ae4a4c64dbee3de00Dc8fc0C
IVDF Version:7.0.0.125

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: Spy-Agent.bg
   •  Eset: Win32/PSW.LdPinch.DVX trojan


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt eine potentiell gefährliche Datei

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\9129837.exe



Es werden folgende Dateien erstellt:

%WINDIR%\new_drv.sys Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: RKIT/LdPinch.dvx

– c:\abcdefg.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ttool
   • %WINDIR%\9129837.exe



Folgender Registryschlüssel wird hinzugefügt:

– HKCU\Software\Microsoft\InetData
   • k1=dword:336602d5
   • k2=dword:4337c861
   • version="951"

 Hintertür Kontaktiert Server:
Den folgenden:
   • http://**********/cgi-bin/options.cgi?user_id=165549058&version_id=951&passphrase=fkjvhsdvlksdhvlsd&socks=3633&version=124&crc=00000000

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein CGI Script.

Die Beschreibung wurde erstellt von Lutz Koch am Dienstag, 23. Oktober 2007
Die Beschreibung wurde geändert von Lutz Koch am Mittwoch, 24. Oktober 2007

zurück . . . .