Name:TR/Spy.VB.QU
Entdeckt am:13/03/2007
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigröße:189.692 Bytes
IVDF Version:6.38.00.48 - Dienstag, 13. März 2007

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: W32.SillyFDC
   •  Mcafee: BackDoor-AKZ
   •  Kaspersky: Trojan-Spy.Win32.VB.qu
   •  TrendMicro: WORM_VB.CVY
   •  F-Secure: Trojan:W32/Agent.AHC
   •  Panda: Bck/Amitis.J
   •  Eset: Win32/Spy.VB.QU trojan
   •  Bitdefender: Trojan.Mailspam.J


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Verfügt über eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %TEMPDIR%\31550.exe
   • %SYSDIR%\odbcasvc.exe


Archivierung:
Es werden Archivdateien erstellt und darin Dateien gespeichert.

Folgendes Verzeichnis wird durchsucht:
   • %APPDATA%\Microsoft\Office\Recent\

Folgender Dateityp wird in betracht gezogen:
   • .doc

Der Dateiname des Archives is folgender:
   • %TEMPDIR%\%aktuelles Datum%_%aktuelle Zeit%.uha



Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %SYSDIR%\uha.exe
   • %SYSDIR%\mswinsck.ocx

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %TEMPDIR%\attachment%aktuelles Datum%_%aktuelle Zeit%.tmp
   • %TEMPDIR%\mail.tmp

 Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%SYSDIR%\odbcasvc.exe
   • "DisplayName"="ODBC Administration Service"
   • "ObjectName"="LocalSystem"
   • "Description"="Microsoft Data Access - ODBC Administration Service"

– HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc\Security
   • Security"=%Hex Werte%

– HKLM\SYSTEM\CurrentControlSet\Services\odbcasvc\Enum
   • "0"="Root\\LEGACY_ODBCASVC\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Folgende Registryschlüssel werden hinzugefügt:

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ODBCASVC
   • "NextInstance"=dword:00000001

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ODBCASVC\0000
   • "Service"="odbcasvc"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="ODBC Administration Service"

– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ODBCASVC\0000\
   Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="odbcasvc"



Folgender Registryschlüssel wird geändert:

Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Alter Wert:
   • "NoDriveTypeAutoRun"=dword:0000009d
   Neuer Wert:
   • "NoDriveTypeAutoRun"=dword:00000091

 Email Es besitzt keine eigene Verbreitungsroutine verschickt jedoch eine Email. Der Empfänger ist möglicherweise der Author. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Der Absender der Email ist folgender:
   • esmtp01@tom.com


An:
Der Empfänger der Email ist folgender:
   • esmtp01@tom.com


Betreff:
Folgende:
   • Spider%Nummer%[%Name des Computers%\%aktueller
      Benutzernamen%]



Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • %aktuelles Datum%_%aktuelle Zeit%.uha

Der Dateianhang ist eine Kopie der erstellten Datei: %TEMPDIR%\%aktuelles Datum%_%aktuelle Zeit%.uha

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Alexander Neth am Freitag, 25. Juli 2008
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 1. August 2008

zurück . . . .