Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:BDS/WinO.A
Entdeckt am:09/03/2010
Art:Backdoor Server
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:63.639 Bytes
MD5 Prfsumme:463f93ee63271f385e100aafb53f7790
IVDF Version:7.10.05.08 - Dienstag, 9. März 2010

 General Aliases:
   •  Mcafee: Nebuler.b
   •  Bitdefender: Trojan.Generic.3563493


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt eine schdliche Dateien herunter
   • Erstellt schdliche Dateien
   • nderung an der Registry

 Dateien Die anfnglich ausgefhrte Kopie der Malware wird gelscht.



Folgende Datei wird gelscht:
   • %TEMPDIR%\fig24.tmp



Es werden folgende Dateien erstellt:

%TEMPDIR%\fig24.bat
%SYSDIR%\win32.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Gen

%TEMPDIR%\fig24.tmp Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Gen

"%Verzeichnis in dem die Malware ausgefhrt wurde%\%executed file.bat%"



Es wird versucht folgende Datei herunterzuladen:

Die URLs sind folgende:
   • http://oberaufseher.net/img/**********?c=I0&v=22&b=1012&id=&cnt=ENU&q=1D0D8F
   • http://tubestock.net/img/**********?c=I0&v=22&b=1013&id=&cnt=ENU&q=1C74F9




Es versucht folgende Dateien auszufhren:

Dateiname:
   • cmd /c start iexplore -embedding


Dateiname:
   • "%PROGRAM FILES%\Internet Explorer\iexplore.exe" -embedding


Dateiname:
   • cmd /c "%TEMPDIR%\fig24.bat"


Dateiname:
   • cmd /c "%Verzeichnis in dem die Malware ausgefhrt wurde%\%executed file.bat%"

 Registry Einer der folgenden Werte wird dem Registry key hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   win32]
   • "Asynchronous"=dword:0x00000001
   • "DllName"="win32.dll"
   • "Impersonate"=dword:0x00000000
   • "Shutdown"="PJOPCufsu"
   • "Startup"="UfVTjtHHISS"



Folgende Registryschlssel werden gendert:

[HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Neuer Wert:
   • "Locked"=dword:0x00000000

[HKLM\SOFTWARE\Microsoft\MSSMGR]
   Neuer Wert:
   • "Brnd"=dword:0x000003f4
   • "Data"=dword:0x097fe351
   • "LSTV"=hex:DA,07,04,00,02,00,06,00,07,00,1B,00,23,00,6D,02
   • "PSTV"=hex:DA,07,04,00,02,00,06,00,07,00,1B,00,2E,00,B5,03

 Injektion Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • explorer.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Dienstag, 6. April 2010
Die Beschreibung wurde geändert von Petre Galan am Dienstag, 6. April 2010

zurück . . . .