Vollständige Virenbeschreibung

Name:	TR/Dldr.Bredolab.AX
Entdeckt am:	27/10/2009
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	29.184 Bytes
MD5 Prüfsumme:	e3edffb53e463bc6e3f498c8aaa1e447
IVDF Version:	7.01.06.155 - Dienstag, 27. Oktober 2009

General Verbreitungsmethoden:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Packed.Win32.Krap.w
   • F-Secure: Trojan.Downloader.Bredolab.AZ
   • Sophos: Mal/Bredo-A
   • Bitdefender: Trojan.Downloader.Bredolab.AZ

Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine schädliche Dateien herunter

Dateien Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
• http://mmsfoundsystem.ru/public/controller.php**********
Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:

Von:
Die Absenderadresse wurde gefälscht.

Betreff:
Folgende:
   • Facebook Password Reset Confirmation.

Body:
Der Body der Email ist einer der folgenden:
   • Hey %Benutzernamen der Emailadresse des Empfängers%,
   • Because of the measures take to provide safety to our clients, your password has been changed.
   • You can find your new password in attached document.
   • Thanks,
   • The Facebook Team

Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • Facebook_Password_%fünfstellige zufällige
      Buchstabenkombination%.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Thomas Wegele am Dienstag, 27. Oktober 2009
Die Beschreibung wurde geändert von Thomas Wegele am Dienstag, 27. Oktober 2009

zurück . . . .