Vollständige Virenbeschreibung

Name:	TR/Drop.Agent.avam
Entdeckt am:	26/10/2009
Art:	Trojan
Nebenart:	Dropper
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Mittel
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	745.472 Bytes
MD5 Prüfsumme:	0C59eadc2628f66819ee0F76f5eeb910
IVDF Version:	7.01.04.220 - Samstag, 11. Juli 2009

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan.Win32.Obfuscated.whl
   • Sophos: W32/IRCBot-ADJ
   • Panda: Bck/Mircbased.BT
   • Eset: IRC/Cloner.BX trojan
   • Bitdefender: Trojan.AgentMB.ITGL3168337

Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Erstellt Dateien
   • Erstellt schädliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Kopien seiner selbst werden hier erzeugt:
   • %PROGRAM FILES%\Microsoft Office\OFFICE11\ WINWORD.EXE
   • %PROGRAM FILES%\Microsoft Office\OFFICE11\services.exe
   • %Start Menu%\Programs\Startup\Adobe Gamma Loader.com

Es wird folgendes Verzeichnis erstellt:
   • %PROGRAM FILES%\Microsoft Office\OFFICE11

Es werden folgende Dateien erstellt:

– %PROGRAM FILES%\Microsoft Office\OFFICE11\Drvics32.dll Enthält von der Malware genutzte Parameter.
– %PROGRAM FILES%\Microsoft Office\OFFICE11\hjwgsd.dll Enthält von der Malware genutzte Parameter.
– %PROGRAM FILES%\Microsoft Office\OFFICE11\jwiegh.dll Enthält von der Malware genutzte Parameter.
– %PROGRAM FILES%\Microsoft Office\OFFICE11\remote.ini Enthält von der Malware genutzte Parameter.
– %PROGRAM FILES%\Microsoft Office\OFFICE11\ruimsbbe.dll Enthält von der Malware genutzte Parameter.
– %PROGRAM FILES%\Microsoft Office\OFFICE11\control.ini Enthält von der Malware genutzte Parameter.
– %PROGRAM FILES%\Microsoft Office\OFFICE11\PUB60SP.mrc Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: WORM/IrcBot.7385.A

– %PROGRAM FILES%\Microsoft Office\OFFICE11\yofc.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: IRC/Zapchast.YF

– %PROGRAM FILES%\Microsoft Office\OFFICE11\smss.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.576628.2

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe, %PROGRAM FILES%\Microsoft Office\OFFICE11\services.exe"

Die Werte des folgenden Registry keys werden gelöscht:

– [HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings]
   • "ProxyServer"
   • "ProxyOverride"
   • "AutoConfigURL"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   %all registry keys%]
– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
   %all registry keys%]

Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\exefile]
   • "NeverShowExt"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Acha.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\registry.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\AmyMastura.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\csrsz.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\SMSSS.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\lsasc.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\BabyRina.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wscript.exe]
   • "Debugger"="rundll32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\cscript.exe]
   • "Debugger"="rundll32.exe"

– [HKLM\SOFTWARE\Microsoft\Security Center\Svc]
   • "AntiVirusDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "FirstRunDisabled"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "UacDisableNotify"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "EnableLUA"=dword:00000000

Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • "ShowSuperHidden"="0x0"
   • "SuperHidden"="0x0"

Verschiedenste Einstellungen des Explorers:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Neuer Wert:
   • "CheckedValue"=dword:00000000
   • "UncheckedValue"=dword:00000000
   • "DefaultValue"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Neuer Wert:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "FirstRunDisabled"=dword:00000001
   • "UacDisableNotify"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Neuer Wert:
   • "Type"=dword:00000004
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Neuer Wert:
   • "Type"=dword:00000004
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\WinDefend]
   Neuer Wert:
   • "Type"=dword:00000004
   • "Start"=dword:00000004

IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: irc.dal.net
Port: 6667
Nickname: Gold_girXls

Diverses Kontaktiert folgende Webseiten um auf eine vorhandene Internetverbindung zu Überprüfen:
   • www.tourism.gov.my
   • www.miti.gov.my
   • www.putera.com

Rootkit Technologie Versteckt folgendes:
– Eigene Dateien

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Raluca Georgescu am Montag, 26. Oktober 2009
Die Beschreibung wurde geändert von Andrei Ivanes am Dienstag, 27. Oktober 2009

zurück . . . .

PC Schutz

Gratis-Produkte

Beliebteste Produkte

Alle Produkte

Bundle-Lösungen

Arbeitsplatzrechner

Server

Bundle-Lösungen

Mail Gateways

Web Gateways

Kollaborationsplattformen

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools