Vollständige Virenbeschreibung

Name:	TR/Dldr.Tiny.brm
Entdeckt am:	14/07/2008
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig bis mittel
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	8.192 Bytes
MD5 Prüfsumme:	6b4ef50e3e21205685cea919ebf93476
IVDF Version:	7.00.05.107 - Montag, 14. Juli 2008

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Trojan Horse
   • Kaspersky: Trojan-Downloader.Win32.Obitel.a
   • TrendMicro: TROJ_DLOADR.GG
   • F-Secure: Trojan-Downloader.Win32.Obitel.a
   • Sophos: Troj/Agent-HFU
   • Eset: Win32/TrojanDownloader.Tiny.NDM
   • Bitdefender: Trojan.Downloader.Gadja.C

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine schädliche Dateien herunter

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\userinit.exe

Die folgende Datei wird umbenannt:

    • %SYSDIR%\userinit.exe nach %SYSDIR%\userini.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

– %TEMPDIR%\%dreistellige zufällige Buchstabenkombination%.tmp Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Tiny.brm.1

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://fixaserver.ru/**********gate.php**********
Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:

Von:
Die Absenderadresse wurde gefälscht.

Betreff:
Eine der folgenden:
   • Ihr UPS Paket %zufällige Buchstabenkombination%
   • UPS Paket %zufällige Buchstabenkombination%

Body:
Der Body der Email ist folgender:

   • Guten Tag,
     leider konnten wir ihren Paket gesendet am 01. Juli nicht zustellen, da
     die Adresse des Empfangers nicht existiert. Drucken Sie bitte den Lieferschein im Anhang dieser Mail aus,
     und holen Sie ihr Paket bei uns ab.

   • Dear Sir/Madam,

     Unfortunately we were not able to deliver postal package you sent on July the 1st in time because the recipient's address is not correct.
     Please print out the invoice copy attached and collect the package at our office

     Your UPS

Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • UPS_Lieferschein_8102.zp
   • ups_invoice.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Thomas Wegele am Dienstag, 15. Juli 2008
Die Beschreibung wurde geändert von Thomas Wegele am Dienstag, 15. Juli 2008

zurück . . . .