Name:TR/Dldr.Winlagons.BN
Entdeckt am:07/04/2008
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:3.009 Bytes
MD5 Prüfsumme:a018dc8d6710e1511c1a26d27c2e8b93
IVDF Version:7.00.03.123 - Montag, 7. April 2008

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Downloader.Win32.Winlagons.bn
   •  F-Secure: Trojan-Downloader.Win32.Winlagons.bn
   •  Eset: Win32/TrojanDownloader.Tiny.NJ trojan
   •  Bitdefender: Trojan.Downloader.Tipikit.F


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Änderung an der Registry

 Dateien Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://58.65.239.115/**********/tpktskr2.php
Diese wird lokal gespeichert unter: %SYSDIR%\jhwqzy.tmp Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

– Die URL ist folgende:
   • http://58.65.239.42/**********/gdk5.exe
Diese wird lokal gespeichert unter: %SYSDIR%\iegm563.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dropper.Gen


– Die URL ist folgende:
   • http://58.65.239.42/**********/wejhfds.exe
Diese wird lokal gespeichert unter: %SYSDIR%\iegm563.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Zhelatin.YO.165

 Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\Google Online Services]
   • "Type"=dword:00000110
     "Start"=dword:00000002
     "ErrorControl"=dword:00000000
     "ImagePath"=%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%
     "DisplayName"="Google Online Services"
     "ObjectName"="LocalSystem"

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • FSG

Die Beschreibung wurde erstellt von Thomas Wegele am Donnerstag, 15. Mai 2008
Die Beschreibung wurde geändert von Thomas Wegele am Donnerstag, 15. Mai 2008

zurück . . . .