Name:TR/Scar.aywk
Entdeckt am:20/12/2009
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:66.560 Bytes
MD5 Prüfsumme:13de040017144a6276172d08bfd1e7f4
IVDF Version:7.10.02.23 - Sonntag, 20. Dezember 2009

 General Verbreitungsmethode:
   • Autorun Dateien


Aliases:
   •  Mcafee: W32/Slenping
   •  Panda: W32/OscarBot.XY
   •  Eset: Win32/AutoRun.IRCBot.CX
   •  Bitdefender: Worm.Pushbot.G


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %HOME%\Application Data\afd.exe
   • %Laufwerk%\Folder\SubFolder\file.exe



Es werden folgende Dateien erstellt:

%Laufwerk%\Folder\SubFolder\Desktop.ini
%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

 Registry Zu jedem Registry key wird je einer der Werte hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

–  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Cftmon32"="%HOME%\Application Data\afd.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Cftmon32"="%HOME%\Application Data\afd.exe"



Folgender Registryschlüssel wird geändert:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Neuer Wert:
   • "%ausgeführte Datei%"="%ausgeführte Datei%:*:Enabled:Cftmon32"

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: one.af**********.com
Port: 22
Channel: #!stdin
Nickname: [USA|00|P|%Nummer%]

 Hintertür Der folgende Port wird geöffnet:

– freebieslounge.com am UDP Port 44500

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Dienstag, 16. März 2010
Die Beschreibung wurde geändert von Petre Galan am Dienstag, 16. März 2010

zurück . . . .