Name:TR/VB.abuo
Entdeckt am:23/02/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:651.264 Bytes
MD5 Prüfsumme:274072bc83d87f4c0a797e5f0687420b
IVDF Version:7.10.04.133 - Dienstag, 23. Februar 2010

 General Verbreitungsmethoden:
   • Autorun Dateien
   • Peer to Peer


Aliases:
   •  Sophos: Mal/VBInject-D
   •  Panda: Adware/AccesMembre
   •  Eset: Win32/Merond.O
   •  Bitdefender: Trojan.VB.Agent.EB


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Verfügt über eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\javajar.exe
   • %Laufwerk%\RECYCLER\%CLSID%\redmond.exe



Es werden folgende Dateien erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%Laufwerk%\RECYCLER\%CLSID%\Desktop.ini
%SYSDIR%\jconsole.exe



Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • "%SYSDIR%\jconsole.exe"

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdaterv12"="%SYSDIR%\javajar.exe"



Die Werte des folgenden Registry keys werden gelöscht:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • APVXDWIN
   • AVG8_TRAY
   • AVP
   • BDAgent
   • CAVRID
   • DrWebScheduler
   • F-PROT Antivirus Tray application
   • ISTray
   • K7SystemTray
   • K7TSStart
   • McENUI
   • MskAgentexe
   • OfficeScanNT Monitor
   • RavTask
   • SBAMTray
   • SCANINICIO
   • SpIDerMail
   • Spam Blocker for Outlook Express
   • SpamBlocker
   • Windows Defender
   • avast!
   • cctray
   • egui
   • sbamui



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\javajar.exe"="%SYSDIR%\javajar.exe:*:Enabled:Explorer"



Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "EnableLUA"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   • "juseful1"=""
   • "juseful2"=""

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.
Der Absender der Email ist einer der folgenden:
   • e-cards@hallmark.com
   • invitations@hi5.com
   • invitations@twitter.com


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.


Betreff:
Eine der folgenden:
   • Jessica would like to be your friend on hi5!
   • You have received A Hallmark E-Card!
   • Your friend invited you to twitter!



Body:
– Verwendung von HTML Inhalten.


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • Invitation Card.zip
   • Postcard.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:   Um das Standard-Download-Verzeichnis in Erfahrung zu bringen wird folgender Registry Eintrag ausgelesen:
   • Software\eMule

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • Sophos antivirus updater bypass.exe; Twitter FriendAdder 2.1.1.exe;
      Ashampoo Snap 3.02.exe; Divx Pro 7 + keymaker.exe; CleanMyPC Registry
      Cleaner v6.02.exe; PDF to Word Converter 3.0.exe; Adobe Photoshop CS4
      crack.exe; Grand Theft Auto IV (Offline Activation).exe; Rapidshare
      Auto Downloader 3.8.exe; VmWare keygen.exe;
      Winamp.Pro.v7.33.PowerPack.Portable+installer.exe; Mp3 Splitter and
      Joiner Pro v3.48.exe; Norton Anti-Virus 2010 Enterprise Crack.exe;
      Image Size Reducer Pro v1.0.1.exe; McAfee Total Protection 2010.exe;
      Alcohol 120 v1.9.7.exe; DVD Tools Nero 10.5.6.0.exe; Myspace theme
      collection.exe; Absolute Video Converter 6.2.exe; K-Lite Mega Codec
      v5.5.1.exe; BitDefender AntiVirus 2010 Keygen.exe; Ad-aware 2010.exe;
      Super Utilities Pro 2009 11.0.exe; Microsoft.Windows 7 ULTIMATE FINAL
      activator+keygen x86.exe; Magic Video Converter 8 0 2 18.exe; Nero 9
      9.2.6.0 keygen.exe; Power ISO v4.2 + keygen axxo.exe; Windows2008
      keygen and activator.exe; Total Commander7 license+keygen.exe; K-Lite
      Mega Codec v5.6.1 Portable.exe; Daemon Tools Pro 4.11.exe; Anti-Porn
      v13.5.12.29.exe; Tuneup Ultilities 2010.exe; LimeWire Pro v4.18.3.exe;
      Motorola, nokia, ericsson mobil phone tools.exe; WinRAR v3.x keygen
      RaZoR.exe; Trojan Killer v2.9.4173.exe; Windows 7 Ultimate keygen.exe;
      Windows 2008 Enterprise Server VMWare Virtual Machine.exe; Windows XP
      PRO Corp SP3 valid-key generator.exe; Blaze DVD Player Pro v6.52.exe;
      PDF-XChange Pro.exe; YouTubeGet 5.4.exe; Norton Internet Security 2010
      crack.exe; Kaspersky AntiVirus 2010 crack.exe; Google SketchUp 7.1
      Pro.exe; PDF Unlocker v2.0.3.exe; Download Boost 2.0.exe; Avast 4.8
      Professional.exe; Adobe Acrobat Reader keygen.exe; VmWare 7.0
      keygen.exe; RapidShare Killer AIO 2010.exe; Internet Download Manager
      V5.exe; Youtube Music Downloader 1.0.exe; AnyDVD HD v.6.3.1.8 Beta
      incl crack.exe; Download Accelerator Plus v9.exe; G-Force Platinum
      v3.7.5.exe; Kaspersky Internet Security 2010 keygen.exe; PDF password
      remover (works with all acrobat reader).exe; Adobe Illustrator CS4
      crack.exe


 Diverses  Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
   • http://whatismyip.com/automation/n09230945.asp

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 21. Mai 2010
Die Beschreibung wurde geändert von Petre Galan am Freitag, 21. Mai 2010

zurück . . . .