Name:TR/Vundo.GJ
Entdeckt am:22/04/2008
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:cae29e9c911460048ce400648af77e34 Bytes
MD5 Prüfsumme:39.936
IVDF Version:7.00.03.199 - Dienstag, 22. April 2008

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: Vundo trojan
   •  Kaspersky: not-a-virus:AdWare.Win32.Virtumonde.qpf
   •  Eset: Win32/Adware.Virtumonde application
   •  Bitdefender: Trojan.Vundo.EIK


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %Malware DLL%]
   • "Asynchronous"=dword:00000001
   • "DllName"="%Malware DLL%"
   • "Impersonate"=dword:00000000
   • "Logon"="o"
   • "Logoff"="f"

– [HKLM\SOFTWARE\Microsoft\d8813c90]
   • @="819C098AB2CE4E24876D1D52A06FBEFD&"

– [HKCR\CLSID\{%generierter CLSID%}\InprocServer32]
   • @="%Verzeichnis in dem die Malware ausgeführt wurde%\%Malware DLL%"
   • "ThreadingModel"="Both"

 Prozess Beendigung Liste der Prozesse die beendet werden:
   • VBA32LDR.EXE; ccSetMgr.exe; ccEvtMgr.exe; Rtvscan.exe; VPtray.exe;
      SDtrayApp.exe; swdsvc.exe; svcntaux.exe; SpySweeperUI.exe;
      SpySweeper.exe; SAVAdminService.exe; ALsvc.exe; ALMon.exe;
      CCSVCHST.exe; npfsvc32.exe; nvcshed.exe; nvoy.exe; nprosec.exe;
      egui.exe; ekrn.exe; nod32krn.exe; nod32kui.exe; winssUI.exe;
      winssintro.exe; winssnotify.exe; winss.exe; mcvsescn.exe;
      mcvsshld.exe; mcagent.exe; mcvsrte.exe; Mcshield.exe; UdaterUI.exe;
      Mctray.exe; AVP.exe; FSAV32.exe; fssm32.exe; FSGK32.exe; fsgk32st.exe;
      spiderml.exe; drwebscd.exe; spidernt.exe; vsserv.exe; BDSS.exe;
      livesrv.exe; XCOMMSVR.EXE; avgemc.exe; avgcc.exe; avgamsvr.exe;
      avgupsvc.exe; ashWebSv.exe; ashDisp.exe; ashServ.exe; aswUpdSv.exe;
      AVGNT.EXE; AVWEBGRD.EXE; AVESVC.EXE; AVFWSVC.EXE; AVGUARD.EXE;
      BEDVavguard.exe; avgnt.exe; aawservice.exe; AD-AWARE.EXE;
      GCASSERVALERT.EXE


 Hintertür Kontaktiert Server:
Einer der folgenden:
   • http://82.98.235.70**********
   • http://65.243.103.80**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Möglichkeiten der Fernkontrolle:
    • Datei herunterladen

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Thomas Wegele am Mittwoch, 7. Mai 2008
Die Beschreibung wurde geändert von Thomas Wegele am Mittwoch, 7. Mai 2008

zurück . . . .