Name:TR/Oficla.W.1
Entdeckt am:14/07/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:862528 Bytes
MD5 Prüfsumme:41B2DBB997CE5FF443DD5594EB6BCFF2
IVDF Version:7.10.09.86 - Mittwoch, 14. Juli 2010

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  F-Secure: Trojan-Downloader:W32/Oficla.GX
   •  Sophos: Mal/FakeAV-BW


Betriebsysteme:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine Datei
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien  Es wird eine Kopie seiner selbst erstellt. Desweiteren werden zufällige Bytes angehängt welche letztendlich dazu führen, dass sie nicht mehr mit der Originaldatei identisch ist:
   • %SYSDIR%\svrwsc.exe



Es wird folgende Datei erstellt:

– Nicht virulente Datei:
   • %WINDIR%\Debug\UserMode\userenv.log

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%Hex Werte%
   • "DisplayName"="Windows Security Center Service"
   • "ObjectName"="LocalSystem"
   • "Description"="The service provides COM APIs for independent software vendors to register and record the state of their products to the Security Center service."
   •

– [HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc\Security]
   • "Security"=hex:%Hex Werte%



Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc\Enum]
   • "0"="Root\LEGACY_SVRWSC\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVRWSC]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVRWSC\0000]
   • "Service"="SvrWsc"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Windows Security Center Service"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVRWSC\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\DirectX\MSA]
   • "ver"=hex(b):cd,a2,c7,01,38,6b,01,d1
   • "X1"=hex:%Hex Werte%

– [HKLM\SOFTWARE\Microsoft\DirectX\MSB]
   • "X1"=hex:00,00,00,00

 Hintertür Kontaktiert Server:
Den folgenden:
   • m**********ng.ru/music/forum/index1.php

Außerdem wird die Verbindung regelmäßig wiederholt. Dies geschieht mittels der HTTP POST Methode unter Verwendung eines PHP Scripts.

Die Beschreibung wurde erstellt von Patrick Schoenherr am Mittwoch, 14. Juli 2010
Die Beschreibung wurde geändert von Patrick Schoenherr am Mittwoch, 14. Juli 2010

zurück . . . .