Name:TR/Dldr.Agent.bfbm
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Hoch
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:89.604 Bytes
MD5 Prüfsumme:27254a5957be4855d8e13b8e4eaeb77b
VDF Version:7.01.01.173
IVDF Version:7.01.01.184 - Dienstag, 27. Januar 2009

 General Aliases:
   •  Kaspersky: Trojan-Downloader.Win32.Agent.bfbm
   •  Eset: Win32/TrojanDownloader.FakeAlert.PY trojan


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter
   • Lädt schädliche Dateien herunter
   • Änderung an der Registry

 Dateien Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://images2009best.com/perce/%zufällige Buchstabenkombination%/*****.gif
Diese wird lokal gespeichert unter: %TEMPDIR%\~tmpa.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Agent.avds


– Die URL ist folgende:
   • http://images-humanity.com/item/%zufällige Buchstabenkombination%/*****.gif
Diese wird lokal gespeichert unter: %TEMPDIR%\~tmpb.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde.

– Die URL ist folgende:
   • http://images-humanity.com/werber/*****.jpg
Diese wird lokal gespeichert unter: %TEMPDIR%\~tmpc.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Agent.bfbm


– Die URL ist folgende:
   • http://best2009images.com/as/wea3/i/en-us/saw/*****.gif
Diese wird lokal gespeichert unter: %TEMPDIR%\~tmpd.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Agent.dde

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • MSFox="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"



Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Mozilla\MSFox]
   • "Str5"=" %zufällige Buchstabenkombination%="
   • "Str9"="%zufällige Buchstabenkombination%="
   • "Str6"=" %zufällige Buchstabenkombination%=="
   • "Str7"="%zufällige Buchstabenkombination%=="
   • "Str8"="lw=="
   • "Str4"=""
   • "Str10"=""
   • "Str1"=" %zufällige Buchstabenkombination%="
   • "Int2"=dword:01c98116
   • "Int3"=dword:a696bcd0

 Diverses Mutex:
Es werden folgende Mutexe erzeugt:
   • Pf8tEzRXY0MhbrHxmUXF
   • jv2GUjP707bgyKtTPna2

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Irina Diaconescu am Dienstag, 27. Januar 2009
Die Beschreibung wurde geändert von Irina Diaconescu am Mittwoch, 28. Januar 2009

zurück . . . .