Name:TR/Agent.137216.2.A
Entdeckt am:31/07/2008
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:137.216 Bytes
MD5 Prüfsumme:831e11da49fee6b692d009b8f71822cf
IVDF Version:7.00.05.199 - Donnerstag, 31. Juli 2008

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Alias:
   •  Symantec: Trojan Horse
   •  Kaspersky: Backdoor.Win32.NewRest.h
   •  TrendMicro: TROJ_MUTANT.EW
   •  F-Secure: Backdoor.Win32.NewRest.h
   •  Sophos: Troj/Drop-AK
   •  Panda: Trj/Exchanger.T
   •  Eset: Win32/Rustock.NFW
   •  Bitdefender: Trojan.Rootkit.Rustock.F


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Verfügt über eigene Email Engine

 Email Die Malware verfügt über eine eigene SMTP engine um Spam Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Generierte Adressen


Betreff:
Eine der folgenden:
   • Miley Cyrus describes her dream man
   • West Nile virus cases reported in California
   • Beijing under threat as Olympics looms
   • US Potatoes unsafe for consumption
   • Man shoots churchgoers over liberal views
   • Typhoon in Taiwan devastates city
   • Car bomb in Washington kills hundreds
   • Bridge collapses in New York
   • FDA warns against eating lobster
   • Amy Winehouse hospitalized following drug overdose
   • New cure for Alzheimers' discovered
   • Woman gives birth to 18th child



Body:
– Verwendung von HTML Inhalten.
Der Body der Email ist einer der folgenden:

   • JFK heir found http://**********.de/livestreaming.html.

   • Plastic surgery on face can cause cancer - Johns Hopkins study http://www.firma-**********.de/livestreaming.html

   • China now richer than US - Merrill Lynch study http://www.**********.com.tw/livestreaming.html

   • Thailand decides to cut off economic exchanges with Cambodia, putting possibility of war on the table
     http://www.**********studio.com/livestreaming.html



Die Email sieht wie folgt aus:


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Thomas Wegele am Freitag, 1. August 2008
Die Beschreibung wurde geändert von Philipp Wolf am Mittwoch, 13. August 2008

zurück . . . .