Vollständige Virenbeschreibung

Name:	TR/Prolaco.449536
Entdeckt am:	03/11/2009
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig bis mittel
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	449.536 Bytes
MD5 Prüfsumme:	9f98e15fc7690f194545460d1ec6c48b
IVDF Version:	7.01.06.185 - Dienstag, 3. November 2009

General Verbreitungsmethoden:
   • Autorun Dateien
   • Email

Aliases:
   • Mcafee: W32/Xirtem
   • Sophos: Mal/CryptBox-A
   • Panda: Bck/Hupigon.LKE
   • Eset: Win32/Mydoom.CG
   • Bitdefender: Backdoor.Hupigon.128260

Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Verfügt über eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\crss.exe
   • %Laufwerk%\RECYCLER\%CLSID%\redmond.exe

Es werden folgende Dateien erstellt:

– %Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

– %Laufwerk%\RECYCLER\%CLSID%\Desktop.ini
– %SYSDIR%\ipx.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Agent.157696

Registry Zu jedem Registry key wird je einer der Werte hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Cisco Systems"="%SYSDIR%\ipx.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Ipsec driver"="%ausgeführte Datei%"

Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%ausgeführte Datei%"="%ausgeführte
      Datei%:*:Enabled:Explorer"

Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   • "LowRiskFileTypes"=".zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.bat;.cmd;.pif;.scr;.mov;.mp3;.wav"

– [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {335QR6C6-5260-NAQ2-1352-FEUG4058WSDY}]
   • "StubPath"=""%SYSDIR%\ipx.exe""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "Cisco Systems"="%SYSDIR%\ipx.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper]
   • "avdirtbagz"="03"
   • "merryxmas"="03"

Folgender Registryschlüssel wird geändert:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion]
   Neuer Wert:
   • "@"="H1UYEEMA[QRSpr{gm8;Re{q iqn"

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

Von:
Die Absenderadresse ist des Benutzers Outlook Benutzerkennung
Generierte Adressen. Bitte vermuten Sie nicht, dass es des Absenders Absicht war diese Email zu schicken. Es ist möglich, dass er nichts über seine Infektion weiß oder sogar nicht infiziert ist. Des Weiteren ist es möglich, dass Sie Emails bekommen in denen die Rede davon ist, dass Sie infiziert sind was möglicherweise auch nicht stimmt.
Der Absender der Email ist einer der folgenden:
   • giveaway@mcdonalds.com
   • noreply@coca-cola.com
   • postcards@hallmark.com

An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)
– Die folgenden Emailadressen:
   • austria@msdirectservices.com
   • mspss@gto.net.om
   • mts@lebanon-online.com.lb

Betreff:
Eine der folgenden:
   • Coca Cola is proud to announce our new Christmas Promotion
   • Mcdonalds wishes you Merry Christmas!
   • You've received A Hallmark E-Card!

Body:
– Verwendung von HTML Inhalten.

Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • coupon.zip
   • postcard.zip
   • promotion.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.

Versand MX Server:
Es besitzt die Fähigkeit folgende MX Server zu kontaktieren:
   • lebanon-online.com.lb
   • gto.net.om

Anfügen von MX Zeichenketten:
Um die IP Adresse des Emailservers zu bekommen werden folgende Zeichenketten dem Domain Namen vorgesetzt:
   • mx
   • mx1
   • mail
   • mail1
   • gate
   • smtp

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Mittwoch, 3. März 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 4. März 2010

zurück . . . .

Avira Partner werden

Als Top-Händler kleine und mittlere Firmen sichern? Das können Sie als Avira-Partner mit einem Angebot an kraftvoller, kosteneffizienter Sicherheit, auf die über 100 Millionen Nutzer weltweit vertrauen.

Erleben Sie das Avira Partner-Programm Melden Sie sich noch heute als Avira-Partner an

Bereits Avira Partner?

PartnerNet-Login

. . . .

PC-Probleme?

Rufen Sie uns an

00800 284 284 22

Schön, von Ihnen zu hören!

Vielen Dank, dass Sie Avira kontaktierthaben.

Wir empfehlen

Weitere Produkte

Beliebteste Produkte

Alle Produkte

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools

Rufen Sie uns an

00800 284 284 22

Schön, von Ihnen zu hören!

Vielen Dank, dass Sie Avira kontaktierthaben.

Wir empfehlen

Weitere Produkte

Beliebteste Produkte

Alle Produkte

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools

Vielen Dank, dass Sie Avira kontaktiert
haben.

Vielen Dank, dass Sie Avira kontaktiert
haben.