Name:TR/Fakealert.HC
Entdeckt am:16/10/2008
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:44.032 Bytes
MD5 Prüfsumme:9d40e58d4b91df1fdf7afd3b05dba6d6
IVDF Version:7.00.07.47 - Donnerstag, 16. Oktober 2008

 General Verbreitungsmethode:
   • Email


Aliases:
   •  Symantec: Trojan.Virantix.C
   •  Kaspersky: Backdoor.Win32.UltimateDefender.tt
   •  F-Secure: Trojan-Downloader:W32/FakeAlert.BG
   •  Sophos: Troj/FakeVir-GL
   •  Panda: Adware/XPAntiSpyware2009
   •  Grisoft: Downloader.Zlob.AEVS
   •  VirusBuster: Trojan.Renos.AUI
   •  Eset: Win32/TrojanDownloader.FakeAlert.MN trojan
   •  Bitdefender: Packer.Malware.Lighty.I


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Es werden folgende Dateien erstellt:

%SYSDIR%\brastk.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.FraudLo.bai

%SYSDIR%\dllcache\figaro.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Rootkit.Gen

%SYSDIR%\dllcache\beep.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Rootkit.Gen

%SYSDIR%\drivers\beep.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Rootkit.Gen

%WINDIR%\delself.bat Diese Batchdatei wird genutzt um eine Datei zu löschen.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • brastk="%SYSDIR%\brastk.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • brastk="%SYSDIR%\brastk.exe"



Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • PendingFileRenameOperations=%Hex Werte%

 Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


Betreff:
Folgende:
   • New anjelina jolie sex scandal



Body:
Der Body der Email ist folgender:
   • anjelina jolie porn video, file attached, watch it


Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • angelina_video.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Thomas Wegele am Mittwoch, 22. Oktober 2008
Die Beschreibung wurde geändert von Thomas Wegele am Mittwoch, 22. Oktober 2008

zurück . . . .