Name:BDS/Glecia.D
Entdeckt am:20/10/2009
Art:Backdoor Server
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:61.440 Bytes
MD5 Prüfsumme:3b2064e0b51f242d1955cb402653201c
IVDF Version:7.01.06.126 - Dienstag, 20. Oktober 2009

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Packed.Win32.Krap.x
   •  F-Secure: Packed.Win32.Krap.x
   •  Eset: Win32/Kryptik.AWF


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien %SYSDIR%\sys.dat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Glecia.A

%SYSDIR%\bhdvgtueyitf.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Glecia.A

– c:\%Verzeichnis in dem die Malware ausgeführt wurde%\sys.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\CLSID\{%CLSID%}]
   • "(Default)"="Microsoft Online Helper!"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{%CLSID%}]
   • "(Default)"="Microsoft Online Helper!"

– [HKCR\CLSID\{%CLSID%}\InProcServer32]
   • "(Default)"=hex(2):%Hex Werte%
   • "ThreadingModel"="Apartment"



Folgender Registryschlüssel wird geändert:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Neuer Wert:
   • ^%\E$@@
   • n%^a&^()%b
   • (^$%l%(^%$e(^& ^%\
   • $%r$$^%o$
   • (%w@$%
   • $s%^^%$e%^(()(*& %
   • E*&^&x$(%%t%$
   • $@e^^%@(n
   • $%s))
   • %i*^o$%$^$^n(&*s(%^&="yes"

 Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


Betreff:
Folgende:
   • DHL service. Please get your parcel. Delivery NR.163400



Body:
Der Body der Email ist einer der folgenden:
   • Hello!
   •
   • The courier company was not able to deliver your parcel by your address.
   • Cause: Error in shipping address.
   •
   • You may pickup the parcel at our post office personaly!
   •
   • Please note!
   • The shipping label is attached to this e-mail.
   • Please print this label to get this package at our post office.
   •
   •
   • Thank you for attention.
   • DHL Global Forwarding Services.


Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • DHL_package_label_6f1aa.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.



Die Email sieht wie folgt aus:


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Tobias Gruber am Dienstag, 20. Oktober 2009
Die Beschreibung wurde geändert von Philipp Wolf am Dienstag, 20. Oktober 2009

zurück . . . .