Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Dldr.Agent.bky
Entdeckt am:31/03/2007
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:13.312 Bytes
MD5 Prfsumme:e9100Ce97a5b4fbd8857b25ffe2d7179
VDF Version:6.38.00.149
IVDF Version:6.38.00.152 - Samstag, 31. März 2007

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: W32/Fujacks.ah
   •  Kaspersky: Worm.Win32.Fujack.ar
   •  F-Secure: Worm.Win32.Fujack.ar
   •  Panda: W32/DiskInfector.A.worm
   •  Grisoft: Downloader.Agent.KCA
   •  VirusBuster: Worm.OnlineGames.SD
   •  Eset: Win32/Fubalca.A
   •  Bitdefender: Win32.Worm.Tunga.B


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
    Zugriff auf Diskette
   • Ldt schdliche Dateien herunter
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\sysload3.exe
   • %SYSDIR%\tempload.exe
   • %SYSDIR%\tempIcon.exe
   • A:\tool.exe



Bereiche werden Dateien hinzugefgt.
– An: %alle Verzeichnisse%\*.HTML Mit folgendem Inhalt:
   • script src=http://macr.microfsot.com/********** /script

– An: %alle Verzeichnisse%\*.ASPX Mit folgendem Inhalt:
   • script src=http://macr.microfsot.com/********** /script

– An: %alle Verzeichnisse%\*.PHP Mit folgendem Inhalt:
   • script src=http://macr.microfsot.com/********** /script

– An: %alle Verzeichnisse%\*.JSP Mit folgendem Inhalt:
   • script src=http://macr.microfsot.com/********** /script

– An: %alle Verzeichnisse%\*.ASP Mit folgendem Inhalt:
   • script src=http://macr.microfsot.com/********** /script




Es wird folgende Datei erstellt:

A:\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%




Es wird versucht folgende Datei herunterzuladen:

Die URL ist folgende:
   • http://a.2007ip.com/**********
Diese Datei enthlt wahrscheinlich Download-Adressen welche als weitere Quelle fr neue Bedrohungen dienen knnen.

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • System Boot Check="%SYSDIR%\sysload3.exe"

 Injektion – Es injiziert sich in einen Prozess.

    Alle der folgenden Prozesse:
   • notepad.exe
   • IEXPLORE.EXE


 Diverses Mutex:
Es werden folgende Mutexe erzeugt:
   • MySignal
   • MyInfect
   • MyDownload


String:
Des Weiteren enthlt es folgende Zeichenkette:
   • I will by one BMW this year!

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Ana Maria Niculescu am Donnerstag, 8. November 2007
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 9. November 2007

zurück . . . .