Name:TR/Fotomoto.F.1
Entdeckt am:07/11/2007
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:71.232 Bytes
MD5 Prüfsumme:d724dfe9790E373d1b92b3a35c1d0E49
IVDF Version:7.00.00.182 - Mittwoch, 7. November 2007

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: Vundo.dr trojan
   •  Kaspersky: Trojan.Win32.Obfuscated.kp
   •  F-Secure: Trojan.Win32.Obfuscated.kp
   •  Panda: Spyware/Virtumonde
   •  Grisoft: Obfustat.VUL
   •  Eset: Win32/Adware.Ezula application


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\DomainService]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei% \service"
   • "DisplayName"="DomainService"
   • "ObjectName"="LocalSystem"
   • "FailureActions"= %Hex Werte%
   • "Description"="DomainService"



Der Wert des folgenden Registry keys wird gelöscht:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • DDC



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%Verzeichnis in dem die Malware ausgeführt
      wurde%\\%ausgeführte Datei%"="%Verzeichnis in dem die
      Malware ausgeführt wurde%\\%ausgeführte Datei%:"



Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\DomainService]


Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "SFCDisable" = 0
   Neuer Wert:
   • "SFCDisable" = 4

 Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://24.244.141.185/**********/install.php
   • http://24.244.141.185/**********/heartbeat.php



Sende Informationen über:
    • Aktueller Malware Status


Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Besuch einer Webseite

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPolyX v0.5

Die Beschreibung wurde erstellt von Thomas Wegele am Freitag, 7. Dezember 2007
Die Beschreibung wurde geändert von Thomas Wegele am Freitag, 7. Dezember 2007

zurück . . . .