Name:BDS/WinO.A
Entdeckt am:09/03/2010
Art:Backdoor Server
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:63.639 Bytes
MD5 Prüfsumme:463f93ee63271f385e100aafb53f7790
IVDF Version:7.10.05.08 - Dienstag, 9. März 2010

 General Aliases:
   •  Mcafee: Nebuler.b
   •  Bitdefender: Trojan.Generic.3563493


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Folgende Datei wird gelöscht:
   • %TEMPDIR%\fig24.tmp



Es werden folgende Dateien erstellt:

%TEMPDIR%\fig24.bat
%SYSDIR%\win32.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Gen

%TEMPDIR%\fig24.tmp Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Gen

– "%Verzeichnis in dem die Malware ausgeführt wurde%\%executed file.bat%"



Es wird versucht folgende Datei herunterzuladen:

– Die URLs sind folgende:
   • http://oberaufseher.net/img/**********?c=I0&v=22&b=1012&id=&cnt=ENU&q=1D0D8F
   • http://tubestock.net/img/**********?c=I0&v=22&b=1013&id=&cnt=ENU&q=1C74F9




Es versucht folgende Dateien auszuführen:

– Dateiname:
   • cmd /c start iexplore -embedding


– Dateiname:
   • "%PROGRAM FILES%\Internet Explorer\iexplore.exe" -embedding


– Dateiname:
   • cmd /c "%TEMPDIR%\fig24.bat"


– Dateiname:
   • cmd /c "%Verzeichnis in dem die Malware ausgeführt wurde%\%executed file.bat%"

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   win32]
   • "Asynchronous"=dword:0x00000001
   • "DllName"="win32.dll"
   • "Impersonate"=dword:0x00000000
   • "Shutdown"="PJOPCufsu"
   • "Startup"="UfVTjtHHISS"



Folgende Registryschlüssel werden geändert:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Neuer Wert:
   • "Locked"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\MSSMGR]
   Neuer Wert:
   • "Brnd"=dword:0x000003f4
   • "Data"=dword:0x097fe351
   • "LSTV"=hex:DA,07,04,00,02,00,06,00,07,00,1B,00,23,00,6D,02
   • "PSTV"=hex:DA,07,04,00,02,00,06,00,07,00,1B,00,2E,00,B5,03

 Injektion – Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • explorer.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Dienstag, 6. April 2010
Die Beschreibung wurde geändert von Petre Galan am Dienstag, 6. April 2010

zurück . . . .