Vollständige Virenbeschreibung

Name:	TR/Spy.Agent.42496
Entdeckt am:	04/09/2007
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig bis mittel
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Nein
Dateigröße:	42.496 Bytes
VDF Version:	6.39.01.84
IVDF Version:	6.39.01.87 - Dienstag, 4. September 2007

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-PSW.Win32.Zbot.z
   • F-Secure: Trojan-PSW.Win32.Zbot.z
   • Panda: Trj/Wsnpoem.JA

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Lädt Dateien herunter
   • Lädt eine schädliche Dateien herunter
   • Lädt schädliche Dateien herunter
   • Erstellt Dateien
   • Erstellt schädliche Dateien
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\ntos.exe

Es werden folgende Dateien erstellt:

– %SYSDIR%\wsnpoem\audio.dll Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Used for stolen data storage.

– %SYSDIR%\wsnpoem\video.dll

Registry Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\ntos.exe,"

Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
   • UID = %Name des Computers%_%Hexadezimale Zahl%

– [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\
   Explorer]
   • "{F710FA10-2031-3106-8872-93A2B5C5C620}"=hex:f7,09,f2,0d

Prozess Beendigung Liste der Prozesse die beendet werden:
• outpost.exe
• zlclient.exe

Hintertür Die folgenden Ports werden geöffnet:

– svchost.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um einen Socks5 Proxy Server zur Verfügung zu stellen.
– svchost.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.

Kontaktiert Server:
Den folgenden:
   • http://**********/.c/o/cfg.bin

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Sende Informationen über:
    • Versteckte Passwörter
    • Computername
    • Aktueller Benutzer
    • IP Adresse
    • Plattform ID
    • Aus dem Diebstahl-Bereich gesammelte Informationen
    • Information über das Windows Betriebsystem

Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Datei ausführen
    • Malware beenden
    • Datei Hinaufladen

Diebstahl Es wird versucht folgende Information zu klauen:
– Aufgezeichnete Passwörter welche von der AutoComplete Funktion verwendet werden

– Der Netzwerkverkehr wird abgehört und auf folgende Zeichenkette geprüft:
   • CustomerServiceMenuEntryPoint?custAction=75

– Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
   • https://onlineeast.bankofamerica.com/cgi-bin/ias/*/GotoWelcome

– Aufgezeichnet wird:
    • Anmeldeinformation

Injektion     Einer der folgenden Prozesse:
   • winlogon.exe
   • svchost.exe

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• __SYSTEM__91C38905__

Rootkit Technologie Versteckt folgendes:
– Eigene Dateien
– Eigene Registryschlüssel

Eingesetzte Methode:
    • Hook der Import Address Table (IAT)

Klinkt sich in folgende API-Funktionen ein:
   • NtQueryDirectoryFile
   • GetMessageA
   • GetMessageW
   • PeekMessageW
   • PeekMessageA
   • GetClipboardData

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Ernest Szocs am Montag, 19. November 2007
Die Beschreibung wurde geändert von Ernest Szocs am Montag, 19. November 2007

zurück . . . .