Vollständige Virenbeschreibung

Name:	TR/Agent.fxp
Entdeckt am:	25/04/2008
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	23.040 Bytes
MD5 Prüfsumme:	9481e26583db9d77b301b1232d786e84
IVDF Version:	7.00.03.213 - Freitag, 25. April 2008

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan.Win32.Agent.fxp
   • F-Secure: Trojan.Win32.Agent.fxp
   • Sophos: W32/IRCBot-ACE
   • Eset: Win32/IRCBot.AAH
   • Bitdefender: Win32.Worm.Slenfbot.B

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\texds.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
• Terminal Execution Exchange Deamon Service = texds.exe

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: secure.freebsd.la
Port: 9798
Passwort des Servers: su1c1d3
Channel: #ghetto#
Nickname: \00\USA\%zufällige Buchstabenkombination%
Passwort: 3atsh1t

Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall werden die bestehenden Einträge gelöscht.

– Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • jayloden.com; www.jayloden.com; www.spywareinfo.com; spywareinfo.com;
      www.spybot.info; spybot.info; kaspersky.com; kaspersky-labs.com;
      www.kaspersky.com; www.majorgeeks.com; majorgeeks.com;
      securityresponse.symantec.com; symantec.com; www.symantec.com;
      updates.symantec.com; liveupdate.symantecliveupdate.com;
      liveupdate.symantec.com; customer.symantec.com; update.symantec.com;
      www.sophos.com; sophos.com; www.virustotal.com; virustotal.com;
      www.mcafee.com; mcafee.com; rads.mcafee.com; mast.mcafee.com;
      download.mcafee.com; dispatch.mcafee.com; us.mcafee.com;
      www.trendsecure.com; trendsecure.com; www.viruslist.com;
      viruslist.com; www.hijackthis.de; hijackthis.de; f-secure.com;
      www.f-secure.com; Merijn.org; www.Merijn.org; www.avp.com; avp.com;
      analysis.seclab.tuwien.ac.at; www.bleepingcomputer.com;
      bleepingcomputer.com; trendmicro.com; www.trendmicro.com;
      www.safer-networking.org; safer-networking.org; grisoft.com;
      www.grisoft.com

Die modifizierte Host Datei sieht wie folgt aus:

Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.

Versteckt folgendes:
– Eigener Prozess

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Die Beschreibung wurde erstellt von Andrei Gherman am Freitag, 25. Juli 2008
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 25. Juli 2008

zurück . . . .