Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Drop.Xorer.C
Entdeckt am:26/02/2008
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigre:~90.000 Bytes
IVDF Version:7.00.02.190 - Dienstag, 26. Februar 2008

 General Verbreitungsmethode:
   • Gemappte Netzlaufwerke


Aliases:
   •  Mcafee: W32/Xorer.c
   •  Kaspersky: Virus.Win32.Xorer.dr
   •  F-Secure: Virus.Win32.Xorer.dr
   •  Sophos: W32/Xorer-B
   •  Grisoft: Worm/AutoRun.AR
   •  Eset: Win32/Xorer.NAE
   •  Bitdefender: Win32.Xorer.DW


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Ldt Dateien herunter
   • Erstellt schdliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\%mehrere beliebige Ziffern%.log
   • %SYSDIR%\com\lsass.exe
   • %Laufwerk%\pagefile.pif



Es werden folgende Dateien erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%SYSDIR%\com\smss.exe Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Xorer.DU

%SYSDIR%\com\netcfg.000 Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Xorer.A.1

%SYSDIR%\com\netcfg.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Xorer.A.1

%SYSDIR%\dnsq.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Agent.32256.E.2

%Laufwerk%\NetApi000.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: RKIT/Xorer.A.2




Es wird versucht folgende Datei herunterzuladen:

Die URL ist folgende:
   • http://w.c0mo.com/**********
Diese Datei enthlt wahrscheinlich Download-Adressen welche als weitere Quelle fr neue Bedrohungen dienen knnen.

 Registry  Alle Werte der folgenden Registryschlssel und alle Subkeys werden gelscht:
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]



Folgende Registryschlssel werden gendert:

Verschiedenste Einstellungen des Explorers:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • ShowSuperHidden = dword:00000000

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Neuer Wert:
   • Type = radio

 Injektion –  Es injiziert folgende Datei in einen Prozess: %SYSDIR%\dnsq.dll

    Prozessname:
   • %alle laufenden Prozesse%


 Diverses  Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu berprfen:
   • www.baidu.com


Mutex:
Es wird folgender Mutex erzeugt:
   • clsassexe

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Andrei Gherman am Montag, 16. Juni 2008
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 19. Juni 2008

zurück . . . .