Name:TR/Dldr.FraudLoad.51200
Entdeckt am:16/09/2009
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel bis hoch
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:51.200 Bytes
MD5 Prüfsumme:2277c47fd42f0D448dab0C97493e6acc
VDF Version:7.01.05.247
IVDF Version:7.01.05.249 - Mittwoch, 16. September 2009

 General Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry




   Elevates itself with SeShutdownPrivilege in order to restart the system.

 Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

%SYSDIR%\braviax.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Renos.56

%SYSDIR%\dllcache\figaro.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Rootkit.Gen

%SYSDIR%\dllcache\beep.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Rootkit.Gen

%SYSDIR%\drivers\beep.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Rootkit.Gen




Es wird versucht folgende Datei herunterzuladen:

– Die URLs sind folgende:
   • http://gumertagionader.com/nLp1wa/0t5CVd8hD0u/**********
   • http://celiminerkariota.com/R1J0x5lf8gpn**********
   • http://uplaserdunavats.com/IgJ1JR0JU5a**********
   • http://opolertionfer.com/G1Ce0YTH5**********
   • http://nuherfodaverta.com/Ral1h0T5**********
   • http://polanermogalios.com/Iq1o0p5**********
   • http://vuilertumegated.com/gPq1oKN0**********
   • http://buteratorionasd.com/AYQ1c0sF5n**********
   • http://nulerotkabelast.com/wBd1Tm0L5k**********
Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.FraudLoad.fnm

 Registry Zu jedem Registry key wird je einer der Werte hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "braviax"="%SYSDIR%\braviax.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "braviax"="%SYSDIR%\braviax.exe"



Der Wert des folgenden Registry keys wird gelöscht:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • risky



Folgende Registryschlüssel werden geändert:

Verringert die Sicherheitseinstellungen des Internet Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   Neuer Wert:
   • "LowRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
   • "SaveZoneInformation"=dword:00000001

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • Mystic Compressor

Die Beschreibung wurde erstellt von Petre Galan am Mittwoch, 16. September 2009
Die Beschreibung wurde geändert von Petre Galan am Mittwoch, 16. September 2009

zurück . . . .