Name:TR/Dldr.Agent.bky
Entdeckt am:31/03/2007
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:13.312 Bytes
MD5 Prüfsumme:e9100Ce97a5b4fbd8857b25ffe2d7179
VDF Version:6.38.00.149
IVDF Version:6.38.00.152 - Samstag, 31. März 2007

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: W32/Fujacks.ah
   •  Kaspersky: Worm.Win32.Fujack.ar
   •  F-Secure: Worm.Win32.Fujack.ar
   •  Panda: W32/DiskInfector.A.worm
   •  Grisoft: Downloader.Agent.KCA
   •  VirusBuster: Worm.OnlineGames.SD
   •  Eset: Win32/Fubalca.A
   •  Bitdefender: Win32.Worm.Tunga.B


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Zugriff auf Diskette
   • Lädt schädliche Dateien herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\sysload3.exe
   • %SYSDIR%\tempload.exe
   • %SYSDIR%\tempIcon.exe
   • A:\tool.exe



Bereiche werden Dateien hinzugefügt.
– An: %alle Verzeichnisse%\*.HTML Mit folgendem Inhalt:
   • script src=http://macr.microfsot.com/********** /script

– An: %alle Verzeichnisse%\*.ASPX Mit folgendem Inhalt:
   • script src=http://macr.microfsot.com/********** /script

– An: %alle Verzeichnisse%\*.PHP Mit folgendem Inhalt:
   • script src=http://macr.microfsot.com/********** /script

– An: %alle Verzeichnisse%\*.JSP Mit folgendem Inhalt:
   • script src=http://macr.microfsot.com/********** /script

– An: %alle Verzeichnisse%\*.ASP Mit folgendem Inhalt:
   • script src=http://macr.microfsot.com/********** /script




Es wird folgende Datei erstellt:

– A:\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://a.2007ip.com/**********
Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • System Boot Check="%SYSDIR%\sysload3.exe"

 Injektion – Es injiziert sich in einen Prozess.

    Alle der folgenden Prozesse:
   • notepad.exe
   • IEXPLORE.EXE


 Diverses Mutex:
Es werden folgende Mutexe erzeugt:
   • MySignal
   • MyInfect
   • MyDownload


String:
Des Weiteren enthält es folgende Zeichenkette:
   • I will by one BMW this year!

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Ana Maria Niculescu am Donnerstag, 8. November 2007
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 9. November 2007

zurück . . . .