Vollständige Virenbeschreibung

Name:	BDS/Frauder.bu
Entdeckt am:	29/08/2008
Art:	Backdoor Server
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig bis mittel
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Nein
Dateigröße:	~203.776 Bytes
IVDF Version:	7.00.06.89 - Freitag, 29. August 2008

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Trojan.Blusod
   • Mcafee: Downloader-ASH.gen.b trojan
   • Kaspersky: Backdoor.Win32.Frauder.bu
   • F-Secure: Backdoor.Win32.Frauder.bu
   • Sophos: Mal/EncPk-EU
   • Panda: Adware/RogueAntimalware2008
   • Grisoft: Downloader.FraudLoad.N
   • Eset: a variant of Win32/Kryptik.E trojan
   • Bitdefender: Trojan.FakeAlert.ACR

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry

Es zeigt den Inhalt einer erstellten Bilddatei an:

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\lphc1boj0e39c.exe

Es werden folgende Dateien erstellt:

– %TEMPDIR%\.tt1.tmp.vbs Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: VBS/Agent.1002

– %SYSDIR%\blphc1boj0e39c.scr Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: JOKE/BlueScreen.B

– %SYSDIR%\phc1boj0e39c.bmp Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Fakealert.AAF

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
• http://stat.antivirusxp-2008.net/**********/common/16.gif
Diese wird lokal gespeichert unter: C:\Documents and Settings\makrorechner\Local Settings\Temp\.tt4.tmp Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Des weiteren enthält sie schadhaften Code.

Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "lphc1boj0e39c"="%SYSDIR%\lphc1boj0e39c.exe"

Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "NoDispBackgroundPage"=dword:00000001
   • "NoDispScrSavPage"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Software Notifier]
   • "InstallID"="858948ee-a000-4255-86f8-9e3baeb448b6"

Folgende Registryschlüssel werden geändert:

– [HKCU\Control Panel\Colors]
   Neuer Wert:
   • "Background"="0 0 255"

– [HKCU\Control Panel\Desktop]
   Neuer Wert:
   • "WallpaperStyle"="0"
     "TileWallpaper"="0"
     "Wallpaper"="%SYSDIR%\phc1boj0e39c.bmp"
     "OriginalWallpaper"="%SYSDIR%\phc1boj0e39c.bmp"
     "ConvertedWallpaper"="%SYSDIR%\phc1boj0e39c.bmp"
     "SCRNSAVE.EXE"="%SYSDIR%\blphc1boj0e39c.scr"
     "ScreenSaveActive"="1"
     "ScreenSaveTimeOut"="600"

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andreas Feuerstein am Freitag, 5. September 2008
Die Beschreibung wurde geändert von Andreas Feuerstein am Freitag, 5. September 2008

zurück . . . .