Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Scar.apqx
Entdeckt am:20/11/2009
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:43.008 Bytes
MD5 Prfsumme:5cdef39df4850fe9d241490fe4305df2
IVDF Version:7.10.01.43 - Freitag, 20. November 2009

 General Aliases:
   •  Mcafee: W32/Koobface.worm.gen.d
   •  Sophos: W32/Koobface-V
   •  Panda: W32/Koobface.JT.worm
   •  Eset: Win32/Koobface.NCK
   •  Bitdefender: Win32.Worm.Koobface.AMW


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt schdliche Dateien herunter
   • Erstellt schdliche Dateien
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %Laufwerk%\windows\ld15.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.



Folgende Dateien werden gelscht:
   • %TEMPDIR%\zpskon_1270677929.exe
   • %Laufwerk%\3.reg
   • %Verzeichnis in dem die Malware ausgefhrt wurde%\df1a245s4_1592.exe
   • %Verzeichnis in dem die Malware ausgefhrt wurde%\SelfDel.bat
   • %Verzeichnis in dem die Malware ausgefhrt wurde%\sd.dat
   • %WINDIR%\dxxdv34567.bat
   • %Laufwerk%\h.tmp
   • %TEMPDIR%\captcha.bat
   • %Laufwerk%\1.bat
   • %TEMPDIR%\zpskon_1270669724.exe
   • %HOME%\Local Settings\Application Data\rdr_1270658517.exe



Es werden folgende Dateien erstellt:

%Laufwerk%\3.reg Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%Verzeichnis in dem die Malware ausgefhrt wurde%\df1a245s4_1592.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dropper.Gen

%HOME%\Local Settings\Application Data\010112010146100109.xxe
%TEMPDIR%\zpskon_1270682172.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Backdoor.Gen

%HOME%\Local Settings\Application Data\010112010146115119.xxe
%HOME%\Local Settings\Application Data\rdr_1270658517.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dropper.Gen

%Laufwerk%\windows\bill106.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dropper.Gen

%Verzeichnis in dem die Malware ausgefhrt wurde%\SelfDel.bat Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu lschen.
%SYSDIR%\drivers\etc\hosts
%TEMPDIR%\zpskon_1270677929.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dropper.Gen

%WINDIR%\fdgg34353edfgdfdf
%Laufwerk%\windows\bk23567.dat
%HOME%\Local Settings\Application Data\0101120101465198.xxe
%Laufwerk%\h.tmp
%WINDIR%\dxxdv34567.bat Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu lschen.
%PROGRAM FILES%\webserver\webserver.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Backdoor.Gen

%Verzeichnis in dem die Malware ausgefhrt wurde%\sd.dat
%TEMPDIR%\captcha.bat Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu lschen.
%SYSDIR%\captcha.dll
%TEMPDIR%\zpskon_1270669724.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/ATRAPS.Gen

%Laufwerk%\1.bat Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu lschen.



Es wird versucht die folgenden Dateien herunterzuladen:

Die URLs sind folgende:
   • http://banmismokingban.com/**********/?action=&v=%Nummer%
   • http://uuviet.toila.net/**********/?action=&v=%Nummer%
   • http://prospect-m.ru/**********/?action=&v=%Nummer%
   • http://glyk.ch/**********/?action=&v=%Nummer%
   • http://sindhpk.com/**********/?action=&v=%Nummer%
   • http://www.smoketrend.de/**********/?action=&v=%Nummer%
   • http://rabadanmakeupartist.com/**********/?action=&v=%Nummer%
   • http://www.friesen-research.com/**********/?action=&v=%Nummer%
   • http://azfatso.org/**********/?action=&v=%Nummer%
   • http://lineaidea.it/**********/?action=&v=%Nummer%
   • http://mysex.co.il/**********/?action=&v=%Nummer%
   • http://daveshieldsmedia.com/**********/?action=&v=%Nummer%
   • http://kingdom-shakers.com/**********/?action=&v=%Nummer%
   • http://www.eurostandart.biz/**********/?action=&v=%Nummer%
   • http://drpaulaprice.com/**********/?action=&v=%Nummer%
   • http://eurorot.com/**********/?action=&v=%Nummer%
   • http://rowanhenderson.com/**********/?action=&v=%Nummer%
   • http://sigmai.co.il/**********/?action=&v=%Nummer%
   • http://anlaegkp.dk/**********/?action=&v=%Nummer%
   • http://inartdesigns.com/**********/?action=&v=%Nummer%
   • http://inartdesigns.com/**********/?action=&ff=%Nummer%&a=%Nummer%&v=%Nummer%&l=%Nummer%&c_fb=%Nummer%&c_ms=%Nummer%&c_hi=%Nummer%&c_tw=%Nummer%&c_be=%Nummer%&c_tg=%Nummer%&c_nl=%Nummer%&iedef=%Nummer%
   • http://mdcoc.net/**********/?getexe=
   • http://www.idif.it/**********/?action=&v=%Nummer%&crc=%Nummer%
   • http://www.idif.it/**********/?action=&a=%Nummer%&v=%Nummer%&c_fb=%Nummer%&ie=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://www.person.doae.go.th/**********/?getexe=
   • http://amazingpets.org/**********/?action=&v=%Nummer%&crc=%Nummer%
   • http://amazingpets.org/**********/?action=&mode=&age=%Nummer%&a=%Nummer%&v=%Nummer%&c_fb=%Nummer%&ie=


Die URL ist folgende:
   • http://insta-find.com/adm/**********


Die URL ist folgende:
   • http://u07012010u.com/**********/?uptime=%Nummer%&v=%Nummer%&sub=%Nummer%&ping=%Nummer%&proxy=%Nummer%&hits=%Nummer%&noref=%Nummer%&port=%Nummer%




Es versucht folgende Dateien auszufhren:

Dateiname:
   • %WINDIR%\ld15.exe


Dateiname:
   • %TEMPDIR%\\zpskon_1270669724.exe


Dateiname:
   • cmd /c c:\1.bat


Dateiname:
   • zpskon_12706697


Dateiname:
   • %TEMPDIR%\\zpskon_1270677929.exe


Dateiname:
   • sc create "captcha" type= share start= auto binPath= "%SYSDIR%\svchost.exe -k captcha"


Dateiname:
   • %TEMPDIR%\zpskon_1270677929.exe


Dateiname:
   • %TEMPDIR%\\zpskon_1270682172.exe


Dateiname:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha\parameters" /v ServiceDll /t REG_EXPAND_SZ /d "%WINDIR%\system


Dateiname:
   • reg add HKLM\Software\Microsoft\Windows\CurrentVersion /v Port /t REG_DWORD /d 1002


Dateiname:
   • netsh add allowedprogram "%PROGRAM FILES%\webserver\webserver.exe" webserver ENABLE


Dateiname:
   • cmd /c %WINDIR%\dxxdv34567.bat


Dateiname:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v FailureActions /t REG_BINARY /d 0000000000000000000000000300


Dateiname:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\captcha" /v Type /t REG_DWORD /d 288 /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost" /v captcha /t REG_MULTI_SZ /d "captcha\0" /f


Dateiname:
   • rundll32 captcha,ServiceMain


Dateiname:
   • regedit /s c:\2.reg


Dateiname:
   • netsh firewall add portopening TCP 1002 webserver ENABLE


Dateiname:
   • netsh firewall add portopening TCP 53 webserver ENABLE


Dateiname:
   • sc create "webserver" binPath= "%PROGRAM FILES%\webserver\webserver.exe" type= share start= auto


Dateiname:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\webserver" /v FailureActions /t REG_BINARY /d 00000000000000000000000003


Dateiname:
   • sc start "webserver"


Dateiname:
   • df1a245s4_1592.exe


Dateiname:
   • cmd /c SelfDel.bat


Dateiname:
   • %Verzeichnis in dem die Malware ausgefhrt wurde%\df1a245s4_1592.exe


Dateiname:
   • %WINDIR%\bill106.exe


Dateiname:
   • "%HOME%\Local Settings\Application Data\rdr_1270658517.exe"


Dateiname:
   • cmd /c "%HOME%\Local Settings\Application Data\rdr_1270658517.exe" /res >%temp%\captcha.bat


Dateiname:
   • "%HOME%\Local Settings\Application Data\rdr_1270658517.exe" /res


Dateiname:
   • cmd /c "%temp%\captcha.bat"


Dateiname:
   • netsh firewall add allowedprogram name="captcha" program="%SYSDIR%\svchost.exe" mode=ENABLE

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "sysldtray"="%WINDIR%\ld15.exe"
   • "sysfbtray"="%WINDIR%\bill106.exe"



Folgende Registryschlssel werden gendert:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   Neuer Wert:
   • "Port"=dword:0x000003ea

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   Neuer Wert:
   • "captcha"="captcha"

 Hosts Die hosts Datei wird wie folgt gendert:

Zugriff auf folgende Domain wird auf ein anderes Ziel umgeleitet:
   • 85.13.206.115 u07012010u.com


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Montag, 12. April 2010
Die Beschreibung wurde geändert von Petre Galan am Montag, 12. April 2010

zurück . . . .