Name:TR/Drop.Mario.97280
Entdeckt am:03/11/2009
Art:Trojan
Nebenart:Dropper
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:97.280 Bytes
MD5 Prüfsumme:03630b362e33623d60ce7a89fb86a3f4
IVDF Version:7.01.06.185 - Dienstag, 3. November 2009

 General Aliases:
   •  Sophos: W32/MarioF-O
   •  Panda: W32/MarioF.Y.worm
   •  Eset: Win32/Pinit.Q
   •  Bitdefender: Worm.Generic.55296


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\azton.mt



Eine Datei wird überschreiben.
%SYSDIR%\dllcache\user32.dll



Folgende Dateien werden gelöscht:
   • %SYSDIR%\user32.dll
   • %SYSDIR%\huscfxdx



Es werden folgende Dateien erstellt:

%SYSDIR%\wvwk
%SYSDIR%\fe3.wa
%SYSDIR%\ewf3.pxf
%SYSDIR%\nvtpm32.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Pinit.DJ

%SYSDIR%\user32.dll



Es wird versucht die folgenden Dateien herunterzuladen:

– Die URLs sind folgende:
   • http://b.albansheih.com/tpsa/gate/**********
   • http://213.155.7.248/tpsa/gate/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • http://213.155.7.248/tpsa/gate/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\9]
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:0x055f9c6f
   • "31AC70412E939D72A9234CDEBB1AF5867B"="nqrckqqlqdrqrirprhqoqrqdqpoinfnhmjmqrjrjlmmdmprmqgnomp"
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:0x00000000

– [HKLM\SOFTWARE\1]
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:0x025c00b3
   • "31AC70412E939D72A9234CDEBB1AF5867B"="efipdhioiijnjpjcjmidigigimgfgkgkhkhfcojedpejfgeejiikfjfcer"
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:0x00000000



Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   Neuer Wert:
   • "MID"="11F47EBD68DD41C68472E07001A5569559799C00B1B64745878B3650EB8E7E09"

– [HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server]
   Neuer Wert:
   • "fDenyTSConnections"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Neuer Wert:
   • "pmpInit_Dlls"="nvtpm32"

– [HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\
   Licensing Core]
   Neuer Wert:
   • "EnableConcurrentSessions"=dword:0x00000001

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Dienstag, 2. März 2010
Die Beschreibung wurde geändert von Petre Galan am Mittwoch, 3. März 2010

zurück . . . .