Vollständige Virenbeschreibung

Name:	TR/Keylogger.avk
Entdeckt am:	29/11/2007
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	112.008 Bytes
MD5 Prüfsumme:	a3e928635256073ca0e5b90388ee6efc
VDF Version:	7.00.01.23
IVDF Version:	7.00.01.24 - Donnerstag, 29. November 2007

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: Generic Keylogger.g trojan
   • Kaspersky: Trojan.Win32.VB.avk
   • F-Secure: Trojan.Win32.VB.avk
   • Panda: Trj/Keylogger.BN

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Kopien seiner selbst werden hier erzeugt:
   • %PROGRAM FILES%\Common Files\winlogon.exe
   • %PROGRAM FILES%\Common Files\smss.exe
   • %PROGRAM FILES%\Common Files\fzx9823.exe
   • %PROGRAM FILES%\Common Files\12x34.edh

Es wird folgende Datei erstellt:

– C:\s5d46a.fjg Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %gestohlene Infromation%

Registry Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Windows Log Agent="%PROGRAM FILES%\Common Files\winlogon.exe"

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\NOHIDDEN]
   Neuer Wert:
   • CheckedValue=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Neuer Wert:
   • CheckedValue=dword:00000002

– [HKCR\exefile]
   Neuer Wert:
   • (Default)="Carpeta de Archivos" (Hidden)

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • ShowSuperHidden=dword:00000000
     HideFileExt=dword:00000001
     SuperHidden=dword:00000001
     Hidden=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Neuer Wert:
   • CheckedValue=dword:00000001
     UncheckedValue=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Neuer Wert:
   • CheckedValue=dword:00000001
     UncheckedValue=dword:00000001

Hintertür Kontaktiert Server:
Den folgenden:
   • http://www.e223pg.awardspace.co.uk/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels der HTTP POST Methode unter Verwendung eines PHP Scripts.

Sende Informationen über:
    • Freier Festplattenplatz
    • Aus dem Diebstahl-Bereich gesammelte Informationen

Diebstahl Es wird versucht folgende Information zu klauen:

– Aufgezeichnet wird:
• Tastaturanschläge
• Fensterinformation

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• PePetite 2.2

Die Beschreibung wurde erstellt von Monica Ghitun am Donnerstag, 29. November 2007
Die Beschreibung wurde geändert von Monica Ghitun am Freitag, 30. November 2007

zurück . . . .