Name:TR/PSW.Delf.CRW
Entdeckt am:30/12/2008
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:485.376 Bytes
MD5 Prüfsumme:295cdcae63106be37fcc44c1649460df
IVDF Version:7.01.01.49 - Dienstag, 30. Dezember 2008

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine Datei
   • Stiehlt Informationen


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Es werden folgende Dateien erstellt:

%home%\Application Data\Scan-Report.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %gestohlene Infromation%

%home%\Application Data\.642_32bits_FiX_1.2-TemDono.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.

 Hintertür Kontaktiert Server:
Den folgenden:
   • ftp://aw8.awardspace.com

Hierdurch können Informationen gesendet werden.

Sende Informationen über:
    • Aus dem Diebstahl-Bereich gesammelte Informationen

 Diebstahl Es wird versucht folgende Information zu klauen:
– Aufgezeichnete Passwörter welche von der AutoComplete Funktion verwendet werden
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Passwörter folgender Programme:
   • Internet Explorer 6
   • Internet Explorer 7
   • Mozilla Firefox
   • Google Talk
   • Trillian
   • Microsoft Outlook
   • Steam
   • Messenger Live
   • MSN Messenger
   • Vitalwerks DUC

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.

Die Beschreibung wurde erstellt von Andrei Gherman am Freitag, 9. Januar 2009
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 9. Januar 2009

zurück . . . .