Name:TR/SpamBot.E
Entdeckt am:19/07/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:55.808 Bytes
MD5 Prüfsumme:64ce27a4edc375f5dcb68b8641738f34
IVDF Version:7.10.09.151 - Mittwoch, 21. Juli 2010

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: Spam-Mailbot.m
   •  Sophos: Mal/FakeAV-CZ
   •  Microsoft: Spammer:Win32/Tedroo
   •  Panda: Bck/Bredolab.AZ
   •  DrWeb: Trojan.Spambot.6788


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Änderung an der Registry
   • Verfügt über eigene Email Engine

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

Verschiedenste Einstellungen des Explorers:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Neuer Wert:
   • "id"="F15ECF88A2EC"
   • "remove"="%ausgeführte Datei%"

 Email Die Malware verfügt über eine eigene SMTP engine um Spam Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Generierte Adressen


Betreff:
Folgende:
   • %Emailadresse des Empfängers% VIAGRA ® Official Site -45%



Body:
– Verwendung von HTML Inhalten.



Die Email sieht wie folgt aus:


 Hintertür Kontaktiert Server:
Den folgenden:
   • http://19**********3.62/82567/kelly.php

Hierdurch werden Hintertürfunktionen bereitgestellt. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.


Möglichkeiten der Fernkontrolle:
    • Emails verschicken
    • Spam bezogen

Die Beschreibung wurde erstellt von Patrick Schoenherr am Donnerstag, 22. Juli 2010
Die Beschreibung wurde geändert von Patrick Schoenherr am Donnerstag, 22. Juli 2010

zurück . . . .