Name:TR/Clicker.Agent.TP
Entdeckt am:12/03/2008
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigröße:~ 70.000 Bytes
IVDF Version:7.00.03.22 - Mittwoch, 12. März 2008

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: Downloader
   •  Kaspersky: Trojan-Clicker.Win32.Agent.tp
   •  F-Secure: Trojan-Clicker.Win32.Agent.tp
   •  Sophos: Troj/Slupim-Gen
   •  Grisoft: Downloader.Agent.AFTW
   •  Eset: Win32/TrojanDownloader.Agent.BER trojan
   •  Bitdefender: Trojan.Agent.AIWV


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry

 Dateien Es wird folgende Datei erstellt:

%SYSDIR%\crypts.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Ag.29696.A




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://www.deborah2.biz/**********54.exe
Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Agent.120832.C

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   crypt]
   • "DLLName"="crypts.dll"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "StartShell"="Run"

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Thomas Wegele am Mittwoch, 17. Dezember 2008
Die Beschreibung wurde geändert von Thomas Wegele am Mittwoch, 17. Dezember 2008

zurück . . . .