Name:TR/Vilsel.iop
Entdeckt am:15/10/2009
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:21.504 Bytes
MD5 Prüfsumme:7d96ce7f588613f0343049918de70665
IVDF Version:7.01.06.111 - Donnerstag, 15. Oktober 2009

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: FakeAlert-AB.dldr
   •  Kaspersky: Trojan.Win32.Vilsel.iop
   •  F-Secure: Trojan-Downloader:W32/Fakerean.Y
   •  Eset: Win32/Kryptik.AUZ
   •  Bitdefender: Trojan.Downloader.FakeAlert.DH

Ähnliche Erkennung:
   •  TR/Vilsel.ioq


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
Informiert den Anwender über angebliche Infektionen oder Probleme des Betriebssystems und bietet Lösung durch Kauf der Anwendung an.


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • %home%\Application Data\seres.exe
   • %home%\Application Data\svcst.exe




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://tsarbunerkadosa.com/x**********
Diese wird lokal gespeichert unter: %home%\Application Data\lizkavd.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Crypt.XPACK.Gen

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • mserv="%home%\Application Data\seres.exe"
   • svchost="%home%\Application Data\svcst.exe"



Folgende Registryschlüssel werden geändert:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   Neuer Wert:
   • "LowRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
   • "SaveZoneInformation"=dword:00000001

Verringert die Sicherheitseinstellungen des Internet Explorers:
– [HKCU\Software\Microsoft\Internet Explorer\Download]
   Alter Wert:
   • "CheckExeSignatures"="yes"
   • "RunInvalidSignatures"=dword:00000000
   Neuer Wert:
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

 Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


Betreff:
Folgende:
   • A new settings file %Emailadresse des Empfängers% has just
      been released



Body:
Der Body der Email ist folgender:

   • Dear user of the %Domäne des Empfängers% mailing service!
     
     We are informing you that because of the security upgrade of the mailing
     service your mailbox %Emailadresse des Empfängers% settings were changed. In order to
     apply the new set of settings open zip attached file.
     
     Best regards, %Domäne des Empfängers% Technical Support.


Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • install.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.



Die Email sieht wie folgt aus:


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Thomas Wegele am Donnerstag, 15. Oktober 2009
Die Beschreibung wurde geändert von Thomas Wegele am Donnerstag, 15. Oktober 2009

zurück . . . .