Name:TR/Dldr.Agent.gcx
Entdeckt am:24/10/2008
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Hoch
Schadenspotenzial:Hoch
Statische Datei:Nein
Dateigröße:~ 360.000 Bytes
IVDF Version:7.00.07.81 - Freitag, 24. Oktober 2008

 General Verbreitungsmethode:
   • Lokales Netzwerk


Aliases:
   •  Mcafee: Spy-Agent.da trojan
   •  Kaspersky: Trojan-Downloader.Win32.Agent.alce
   •  F-Secure: Trojan-Downloader.Win32.Agent.alce
   •  Sophos: Troj/Gimmiv-A
   •  Bitdefender: Win32.Worm.Gimmiv.A


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Es werden folgende Dateien erstellt:

%SYSDIR%\wbem\sysmgr.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Agent.gcx

%TEMPDIR%\%achtstellige zufällige Buchstabenkombination%.bat Diese Batchdatei wird genutzt um eine Datei zu löschen.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SYSTEM\ControlSet001\Services\sysmgr\Parameters]
   • "ServiceDll"=%SYSDIR%\%Malware DLL%
   • "ServiceMain"="ServiceMainFunc"



Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   • "sysmgr"=%Hex Werte%

 Hintertür Kontaktiert Server:
Einer der folgenden:
   • 212.227.93.146
   • 64.233.189.147
   • 202.108.22.44

Hierdurch können Informationen gesendet werden. Außerdem wird die Verbindung regelmäßig wiederholt. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.


Sende Informationen über:
    • Hizufügen/Entfernen Programmliste
    • Computername
    • Informationen über das Netzwerk
    • Aus dem Diebstahl-Bereich gesammelte Informationen
    • Benutzername
    • Information über das Windows Betriebsystem

 Diebstahl Es wird versucht folgende Information zu klauen:

– Passwörter folgender Programme:
   • Outlook Express
   • MSN Messenger
   • Protected Storage

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Thomas Wegele am Freitag, 24. Oktober 2008
Die Beschreibung wurde geändert von Alexander Vukcevic am Freitag, 24. Oktober 2008

zurück . . . .