Name:EXP/MS08-067.C
Entdeckt am:11/11/2008
Art:Exploit
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigröße:~ 19.533 Bytes
IVDF Version:7.01.00.66 - Dienstag, 11. November 2008

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: Downloader
   •  Kaspersky: Trojan-Downloader.Win32.Agent.aoxg
   •  TrendMicro: TROJ_MAXIMUS.AO
   •  F-Secure: Trojan-Downloader.Win32.Agent.aoxg
   •  Sophos: Exp/MS08067-A
   •  Bitdefender: Exploit.MS08-067.D
   •  Grisoft: Agent.ALNC
   •  Eset: Win32/Exploit.MS08-067.A


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Macht sich Software Verwundbarkeit zu nutzen
      •  http://technet.microsoft.com/en-us/security/advisory/958963

 Dateien Es wird folgende Datei erstellt:

%TEMPDIR%\suchots.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Expl.IMG-WMF.EX.2




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://down.yznylsf.cn/**********/ko.exe
Diese wird lokal gespeichert unter: %Verzeichnis in dem die Malware ausgeführt wurde%\ko.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Crypt.XDR.Gen

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • FSG

Die Beschreibung wurde erstellt von Thomas Wegele am Mittwoch, 19. November 2008
Die Beschreibung wurde geändert von Philipp Wolf am Freitag, 9. September 2011

zurück . . . .