Name:DR/Zlob.iwm
Entdeckt am:25/11/2008
Art:Dropper
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:7.073.792 Bytes
MD5 Prüfsumme:310155bd61cf7370031799b366333bba
IVDF Version:7.01.00.137 - Dienstag, 25. November 2008

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt schädliche Dateien


Nach Aktivierung wird folgende Information angezeigt:


 Dateien  Es werden folgende Verzeichnisse erstellt:
   • %PROGRAM FILES%\HDTV Player\
   • %PROGRAM FILES%\HDTV Player\Uninstall



Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %PROGRAM FILES%\HDTV Player\applog.dll
   • %PROGRAM FILES%\HDTV Player\ATVPlayerCtrl.dll
   • %PROGRAM FILES%\HDTV Player\BDA_TSFile.dll
   • %PROGRAM FILES%\HDTV Player\DibLibDll.dll
   • %PROGRAM FILES%\HDTV Player\HDTVPlayer.exe
   • %PROGRAM FILES%\HDTV Player\IE_Ext.dll
   • %PROGRAM FILES%\HDTV Player\mlutil.dll
   • %PROGRAM FILES%\HDTV Player\ucm.dll
   • %PROGRAM FILES%\HDTV Player\VersionInfo.dll

%PROGRAM FILES%\HDTV Player\Readme.txt
%PROGRAM FILES%\HDTV Player\SndErr.ini
%PROGRAM FILES%\HDTV Player\License.txt
%PROGRAM FILES%\HDTV Player\FileAssocator.ini
%PROGRAM FILES%\HDTV Player\DVBTFrequencyList.ini
%PROGRAM FILES%\HDTV Player\ATSCFrequencyList.ini
%PROGRAM FILES%\HDTV Player\AnalogTVStandard.INI
%PROGRAM FILES%\HDTV Player\AnalogTVFrequency.reg
%PROGRAM FILES%\HDTV Player\Uninstall\uninstall.xml
%PROGRAM FILES%\HDTV Player\Uninstall\uninstall.dat
%PROGRAM FILES%\HDTV Player\Uninstall\IRIMG1.BMP
%PROGRAM FILES%\HDTV Player\Uninstall\IRIMG2.BMP



Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://89.149.226.**********/MediaCodec.exe
Diese wird lokal gespeichert unter: %TEMPDIR%\MediaCodec.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: DR/Dldr.Zlob.IWM.1


– Die URL ist folgende:
   • http://end-live.com/**********/FlashPlayer.v3.193.exe
Diese wird lokal gespeichert unter: %TEMPDIR%\FlashPlayer.v.3.193.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: DR/AutoRun.lte

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Thomas Wegele am Mittwoch, 26. November 2008
Die Beschreibung wurde geändert von Thomas Wegele am Donnerstag, 27. November 2008

zurück . . . .