Vollständige Virenbeschreibung

Name:	TR/Xorer.174009
Entdeckt am:	17/03/2008
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	94.208 Bytes
MD5 Prüfsumme:	bfe68898bb94d7068582c642bfe0bc5c
VDF Version:	7.00.03.40

General Verbreitungsmethode:
   • Gemappte Netzlaufwerke

Aliases:
   • Symantec: W32.Pagipef.I!inf
   • Mcafee: W32/Xorer
   • Kaspersky: Virus.Win32.Xorer.ew
   • TrendMicro: PE_PAGIPEF.CA-O
   • F-Secure: Virus.Win32.Xorer.ew
   • Sophos: Mal/Xorer-A
   • Panda: W32/Pagepif.G.worm
   • VirusBuster: Win32.Xorer.O
   • Eset: Win32/Xorer
   • Bitdefender: Trojan.Xorer.T

Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Lädt Dateien herunter
   • Erstellt schädliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\com\lsass.exe
   • %SYSDIR%\%random character string from 0 to 9%.log
   • %Laufwerk%\pagefile.pif

Es werden folgende Dateien erstellt:

– %Laufwerk%\AUTORUN.INF Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

– %SYSDIR%\com\smss.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Xorer.DR.40960

– %SYSDIR%\com\netcfg.000 Erkannt als: TR/Xorer.A.1

– %SYSDIR%\com\netcfg.dll Erkannt als: TR/Xorer.A.1

– %Laufwerk%\NetApi000.sys Erkannt als: RKIT/Xorer.A.10

– %SYSDIR%\dnsq.dll Erkannt als: TR/Spy.Gen

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://w.c0m**********
Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

Registry Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • [-HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
   • [-HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
   • [-HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Neuer Wert:
   • Type="radio"

Formatierung der Zeit:
Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • ShowSuperHidden = dword:00000000

Prozess Beendigung Prozesse mit einer der folgenden Zeichenketten werden beendet:
   • antivir; thunderrt6main; mcafee; facelesswndproc; bitdefender; ewido;
      monitor; mcagent; escan; firewall; dr.web; metapad; ieframe; diskgen;
      dummycom; xorer

Injektion – Es injiziert folgende Datei in einen Prozess: %SYSDIR%\dnsq.dll

Prozessname:
• %alle laufenden Prozesse%

Diverses Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
• www.baidu.com

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Die Beschreibung wurde erstellt von Alexandru Dinu am Donnerstag, 31. Juli 2008
Die Beschreibung wurde geändert von Andrei Ivanes am Dienstag, 16. September 2008

zurück . . . .