Name:TR/Dldr.Agent.aizj
Entdeckt am:08/10/2008
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:181.536 Bytes
MD5 Prüfsumme:693da45a090f56bd6817c7244573b29d
IVDF Version:7.00.07.09 - Mittwoch, 8. Oktober 2008

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Downloader.Win32.Agent.aizj
   •  TrendMicro: TROJ_DROPPER.KGC
   •  F-Secure: Trojan-Downloader:W32/Banload.FUF
   •  Sophos: Troj/Dloadr-BUR
   •  Grisoft: Downloader.Agent.AMNS
   •  Bitdefender: Trojan.Agent.Delf.ND


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter
   • Lädt eine schädliche Dateien herunter

 Dateien Es wird folgende Datei erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %temporary internet files%\Content.IE5\%achtstellige zufällige Buchstabenkombination%\sub1[1].gif
   • %temporary internet files%\Content.IE5\%achtstellige zufällige Buchstabenkombination%\sub[1].gif




Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://71.125.18.24/**********/sub1.gif
Diese wird lokal gespeichert unter: %SYSDIR%\microsoftupdate.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Banload.wjk


– Die URL ist folgende:
   • http://83.140.184.152/**********/sub.gif
Diese wird lokal gespeichert unter: %SYSDIR%\00.0

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andreas Feuerstein am Donnerstag, 9. Oktober 2008
Die Beschreibung wurde geändert von Andreas Feuerstein am Donnerstag, 9. Oktober 2008

zurück . . . .