Name:TR/OnlineGam.108514
Entdeckt am:03/12/2009
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:108.514 Bytes
MD5 Prüfsumme:392c688556f4fb8f1254152bb4ed6900
IVDF Version:7.10.01.164 - Donnerstag, 3. Dezember 2009

 General Verbreitungsmethode:
   • Autorun Dateien


Aliases:
   •  Symantec: Trojan.Packed.NsAnti
   •  Mcafee: W32/Autorun.worm.zzw
   •  Kaspersky: Worm.Win32.AutoRun.foc
   •  TrendMicro: WORM_AUTORUN.EMB
   •  F-Secure: Worm:W32/Agent.KAZ
   •  Sophos: Mal/Autorun-K
   •  Panda: W32/Autorun.ISH
   •  VirusBuster: Worm.AutoRun.NNX
   •  Eset: Win32/PSW.OnLineGames.NMY
   •  Bitdefender: Trojan.PWS.OnlineGames.KBWJ


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\olhrwef.exe
   • %Laufwerk%\0xuc.com



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%SYSDIR%\drivers\klif.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: RKIT/Agent.3584

%SYSDIR%\nmdfgds0.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Crypt.ZPACK.Gen




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://hjyuw2.com/xm**********
Diese wird lokal gespeichert unter: %TEMPDIR%\help1[1].rar Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "cdoosoft"="%SYSDIR%\olhrwef.exe"



Folgende Registryschlüssel werden hinzugefügt:

– HKLM\SOFTWARE\Classes\CLSID\MADOWN\
   • "urlinfo"=""

– [HKLM\SYSTEM\ControlSet001\Services\KAVsys]
   • "Type"=dword:00000001
   • "ErrorControl"=dword:00000001
   • "Start"=dword:00000001
   • "ImagePath"="\??\%SYSDIR%\drivers\klif.sys"



Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Neuer Wert:
   • "CheckedValue"=dword:0x00000000

 Injektion –  Es injiziert folgende Datei in einen Prozess: %SYSDIR%\nmdfgds0.dll

    Prozessname:
   • explorer.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Alexandru Dinu am Dienstag, 6. Juli 2010
Die Beschreibung wurde geändert von Alexandru Dinu am Dienstag, 6. Juli 2010

zurück . . . .