Name:TR/Drop.Decay.atv
Entdeckt am:23/10/2009
Art:Trojan
Nebenart:Dropper
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:70.656 Bytes
MD5 Prüfsumme:3bd03a49f0a4ffd9220e1e1b2890663a
IVDF Version:7.01.06.142 - Freitag, 23. Oktober 2009

 General Verbreitungsmethode:
• Autorun Dateien


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\conmsyrtl.exe
   • %Laufwerk%\driver\usb\usb3.EXE



Es werden folgende Dateien erstellt:

%Laufwerk%\driver\usb\Desktop.ini
%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

 Registry Zu jedem Registry key wird je einer der Werte hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Sistema de Comm"="conmsyrtl.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Sistema de Comm"="conmsyrtl.exe"



Folgender Registryschlüssel wird geändert:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Neuer Wert:
   • "%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%:*:Enabled:Sistema de Comm"

 P2P    Es wird nach Verzeichnissen gesucht welche einer der folgenden Zeichenketten enthalten:
   • winmx\shared\
   • tesla\files\
   • limewire\shared\
   • morpheus\my shared folder\
   • emule\incoming\
   • edonkey2000\incoming\
   • bearshare\shared\
   • grokster\my grokster\
   • icq\shared folder\
   • kazaa lite k++\my shared folder\
   • kazaa lite\my shared folder\
   • kazaa\my shared folder\

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • headjobs.scr; ilovetofuck.scr; FREEPORN.exe,fuckshitcunt.scr;
      Autoloader.exe; Wireshark.exe; DDOSPING.exe; ScreenMelter.exe;
      How-to-make-money.exe; Ebooks.exe; WildHorneyTeens.scr;
      RapidsharePREMIUM.exe; LimeWireCrack.exe; Porno.MPEG.exe; image.scr;
      VistaUltimate-Crack.exe; paris-hilton.scr; MSNHacks.exe;
      YahooCracker.exe; HotmailHacker.exe

   Diese Dateien sind Kopien der eigenen Malware Datei

 Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– AIM Messenger
– MSN Messenger

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: ns3.metr**********.com
Port: 6567
Passwort des Servers: pr1v4d0onl1n3r
Channel: #delawich#
Nickname: [SH|USA|00|P|%Nummer%]
Passwort: c1rc0s0leil


– Des Weiteren besitzt die Malware die Fähigkeit folgende Aktionen durchzuführen:
    • DDoS SYN Angriff starten
    • Datei herunterladen
    • Aktualisiert sich selbst
    • Besuch einer Webseite

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Mittwoch, 3. Februar 2010
Die Beschreibung wurde geändert von Petre Galan am Freitag, 5. Februar 2010

zurück . . . .