Vollständige Virenbeschreibung

Name:	TR/Oficla.AA
Entdeckt am:	07/07/2010
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig
Statische Datei:	Ja
Dateigröße:	34.816 Bytes
MD5 Prüfsumme:	ee97199dec81e92d2a1013c827afd5bc
IVDF Version:	7.10.09.29 - Mittwoch, 7. Juli 2010

General Verbreitungsmethode:
   • Email

Betriebsysteme:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %TEMPDIR%\svchost.exe

Es werden folgende Dateien erstellt:

– %TEMPDIR%\tmpf5c96f2a.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.
– %HOME%\Application Data\Voutt\ifzap.exe
– %HOME%\Application Data\Fipizy\poyr.imx
– %temporary internet files%\Content.IE5\89ATUD5F\boom[1].jpg
– %temporary internet files%\Content.IE5\89ATUD5F\google[1].htm
– %temporary internet files%\Content.IE5\89ATUD5F\webhp[1].htm
– %temporary internet files%\Content.IE5\89ATUD5F\webstat[1].htm
– %HOME%\Application Data\Beepoh\erar.exe

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
• http://www.um**********oom5.gif
Diese wird lokal gespeichert unter: %TEMPDIR%\system.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe"

Der folgendeRegistryschlüssel wird in einer Endlosschleife fortlaufen hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "{B579423A-2522-DBB3-1CB3-9B491420520F}"="\"C:\\Documents and Settings\\makrorechner\\Application Data\\Beepoh\\erar.exe\""

Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe"="C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe:*:Enabled:svchost.exe"
   •

Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\Ikcie]
   • %Hex Werte%

Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:

Von:
Die Absenderadresse wurde gefälscht.

Betreff:
Folgende:
   • DHL Tracking Number

Body:
Der Body der Email ist folgender:

   • Hello!

     The courier company was not able to deliver your parcel by your address.

     You may pickup the parcel at our post office personaly.

     The shipping label is attached to this e-mail.
     Please print this label to get this package at our post office.

     Thank you for attention.
     DHL Delivery Services.

Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • DHL_INVOICE23.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.

Die Email sieht wie folgt aus:

Injektion – Es injiziert sich in einen Prozess.

Prozessname:
• explorer.exe

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Patrick Schoenherr am Mittwoch, 7. Juli 2010
Die Beschreibung wurde geändert von Patrick Schoenherr am Mittwoch, 7. Juli 2010

zurück . . . .