Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/A.108544
Entdeckt am:27/04/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:108.544 Bytes
MD5 Prüfsumme:0227e05f0183120ac3e5b8df4086961f
IVDF Version:7.10.06.222 - Dienstag, 27. April 2010

 General Verbreitungsmethoden:
   • Autorun Dateien
   • Email


Aliases:
   •  Sophos: Troj/DelfInj-Q
   •  Bitdefender: Trojan.Generic.3822680
   •  Panda: W32/Pinit.J.worm
   •  Eset: Win32/Peerfrag.FD


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Setzt Sicherheitseinstellungen herunter
   • Lädt schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %Papierkorb%\%CLSID%\mgrls32.exe



Folgende Dateien werden gelöscht:
   • %TEMPDIR%\husu.exe
   • %SYSDIR%\DRIVERS\SET5.tmp
   • %TEMPDIR%\587.exe
   • %TEMPDIR%\bohvby.exe
   • %SYSDIR%\drivers\aec.sys
   • %SYSDIR%\drivers\aec.sys.bak
   • %TEMPDIR%\joujbvje.exe
   • %TEMPDIR%\hqgqrnbdunn.bat



Es werden folgende Dateien erstellt:

%Papierkorb%\%CLSID%\Desktop.ini
– %HOME%\ndisrd_m.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

– %HOME%\ndisrd.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%temporary internet files%\fjnvpk[1].htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dropper.Gen

%TEMPDIR%\wsqptq.exe
%SYSDIR%\DRIVERS\SET5.tmp
%SYSDIR%\DRIVERS\ndisrd.sys
%temporary internet files%\fwevpovto[1].htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Gen

– %HOME%\snetcfg.exe
%Laufwerk%\lsass.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Gen

– %HOME%\Application Data\Microsoft\Crypto\RSA\%CLSID%\a18ca4003deb042bbee7a40f15e1970b_1c1a3893-4672-472f-afbd-f2c903f9947c
– %HOME%\ndisrd.sys
%TEMPDIR%\184.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Rimecud.N.3

%TEMPDIR%\jfrevf.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/ATRAPS.Gen

%TEMPDIR%\mcillbuu.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dropper.Gen

%temporary internet files%\oriqbjdp[1].htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/ATRAPS.Gen

%TEMPDIR%\awkvrft.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dropper.Gen

%TEMPDIR%\bohvby.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Crypt.ZPACK.Gen

%SYSDIR%\regedit.exe
%TEMPDIR%\husu.exe
%TEMPDIR%\nrktcvy.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Gen

%SYSDIR%\drivers\aec.sys
– %HOME%\drvsign.exe
%TEMPDIR%\hqgqrnbdunn.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.
%TEMPDIR%\587.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Agent.AO.1250

%temporary internet files%\rvqxfn[1].htm
%temporary internet files%\imwaic[1].htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dropper.Gen

%TEMPDIR%\joujbvje.exe
%temporary internet files%\fwelcx[1].htm
%SYSDIR%\drivers\zibmaunkvy9.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: RKit/Tent.aui

%TEMPDIR%\a82d79a1.tmp
%temporary internet files%\loaderadv600[1].exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Agent.AO.1250

%temporary internet files%\hypwhc[1].htm
%Papierkorb%\%CLSID%\vsbntlo.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Rimecud.N.3

%temporary internet files%\yptozgozmu[1].htm Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Crypt.ZPACK.Gen

%temporary internet files%\pr3xyy[1].exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Rimecud.N.3

%SYSDIR%\drivers\aec.sys.bak



Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://81.214.13**********.58/?7c222e27396f222c272a2e396a22282c2e3969222c2e2b28397d222f397b222e396c222e2f29262f272f397a225c25434b7a726f43716d746b7c6966317a677a3978227671766b1f


– Die URL ist folgende:
   • http://115.85.23**********.119/?560805134508060d00041340080206041343080604010213570805135108041346080405030c050d05135008760f6961505845695b475e4156434c1b504d501352085c5b5c4135


– Die URL ist folgende:
   • http://aebankonline.com/ufwnltbz/**********?adv=%Zeichenfolge%


– Die URLs sind folgende:
   • http://aebankonline.com/ufwnltbz/**********?adv=%Zeichenfolge%
   • http://bedayton.com/ufwnltbz/**********?adv=%Zeichenfolge%


– Die URL ist folgende:
   • http://go-thailand-now.com/**********?user=%Zeichenfolge%


– Die URLs sind folgende:
   • http://89.214.**********.17/?7e20283b6d202e25282c3b68202a2e2c3b6b202e2c292a3b7f202d3b79202c3b6e202c2d2b242d252d3b78205e27414978706d41736f76697e6b64337865783b7a20747374691d
   • http://62.149.**********.17/?9bc5c9cfde88c5cbc0cdc9de8dc5cfcbc9de8ec5cbc9cccfde9ac5c8de9cc5c9de8bc5c9c8cec1c8c0c8de9dc5bbc2a4ac9d9588a4968a938c9b8e81d69d809dde9fc59196918cf8


– Die URL ist folgende:
   • http://go-thailand-now.com/**********?mode=%Zeichenfolge%&f=%Nummer%


– Die URL ist folgende:
   • http://go-thailand-now.com/**********?file=%Zeichenfolge%


– Die URL ist folgende:
   • http://aebankonline.com/yulgbvqk/**********?id=%Zeichenfolge%&p=%Nummer%


– Die URL ist folgende:
   • http://go-thailand-now.com/**********?num=%Nummer%


– Die URLs sind folgende:
   • http://aebankonline.com/ufwnltbz/**********?adv=%Zeichenfolge%
   • http://bedayton.com/ufwnltbz/**********?adv=%Zeichenfolge%


– Die URL ist folgende:
   • http://89.146.16**********.198/?c49a969581d79a949f929681d29a90949681d19a9496939081c59a9781c39a9681d49a9697919e979f9781c29ae49dfbf3c2cad7fbc9d5ccd3c4d1de89c2dfc281c09acec9ced3a7


– Die URL ist folgende:
   • http://89.146.13**********.94/?c59b979580d69b959e939780d39b91959780d09b9597929180c49b9680c29b9780d59b9796909f969e9680c39be59cfaf2c3cbd6fac8d4cdd2c5d0df88c3dec380c19bcfc8cfd2a6


– Die URL ist folgende:
   • http://196.217.**********.104/?adf3fffae8bef3fdf6fbffe8bbf3f9fdffe8b8f3fdfffaf9e8acf3fee8aaf3ffe8bdf3fffef8f7fef6fee8abf38df4929aaba3be92a0bca5baadb8b7e0abb6abe8a9f3a7a0a7bace


– Die URL ist folgende:
   • http://aebankonline.com/ufwnltbz/**********?adv=%Zeichenfolge%


– Die URLs sind folgende:
   • http://aebankonline.com/ufwnltbz/**********?adv=%Zeichenfolge%
   • http://bedayton.com/ufwnltbz/**********?adv=%Zeichenfolge%


– Die URL ist folgende:
   • http://aebankonline.com/ufwnltbz/**********?adv=%Zeichenfolge%


– Die URL ist folgende:
   • http://aebankonline.com/ufwnltbz/**********?adv=%Zeichenfolge%


– Die URLs sind folgende:
   • http://aebankonline.com/ufwnltbz/**********?adv=%Zeichenfolge%
   • http://bedayton.com/ufwnltbz/**********?adv=%Zeichenfolge%


– Die URL ist folgende:
   • http://aebankonline.com/ufwnltbz/**********?adv=%Zeichenfolge%


– Die URLs sind folgende:
   • http://208.110.82.186/**********
   • http://96.0.203.114/**********


– Die URL ist folgende:
   • http://aebankonline.com/ufwnltbz/**********?adv=%Zeichenfolge%


– Die URL ist folgende:
   • http://aebankonline.com/ufwnltbz/**********?adv=%Zeichenfolge%


– Die URLs sind folgende:
   • http://go-thailand-now.com/**********?876377c509c3a3f1b59f91d4c2f18b0e
   • http://go-thailand-now.com/**********?a2c44929ca4ccf3fda5849fe6a74f9a7


– Die URL ist folgende:
   • http://208.53.183.4/**********


– Die URL ist folgende:
   • http://aebankonline.com/ufwnltbz/**********?adv=%Zeichenfolge%


– Die URL ist folgende:
   • http://aebankonline.com/ufwnltbz/**********?adv=%Zeichenfolge%&code1=%Zeichenfolge%&code2=%Nummer%&id=%Zeichenfolge%&p=%Nummer%


– Die URL ist folgende:
   • http://go-thailand-now.com/**********?sub=%Zeichenfolge%&fid=%Nummer%


– Die URL ist folgende:
   • http://go-thailand-now.com/**********?sessid=%Zeichenfolge%


– Die URL ist folgende:
   • http://!/**********?t=%Nummer%&a&id=%Zeichenfolge%


– Die URL ist folgende:
   • http://bedayton.com/**********




Es versucht folgende Dateien auszuführen:

– Dateiname:
   • %TEMPDIR%\587.exe


– Dateiname:
   • %TEMPDIR%\jfrevf.exe


– Dateiname:
   • %TEMPDIR%\awkvrft.exe


– Dateiname:
   • %TEMPDIR%\wsqptq.exe


– Dateiname:
   • "drvsign.exe"


– Dateiname:
   • "%SYSDIR%\cmd.exe" /c del %TEMPDIR%\587.exe > nul


– Dateiname:
   • "snetcfg.exe" -v -l ndisrd.inf -m ndisrd_m.inf -c s -i nt_ndisrd


– Dateiname:
   • runonce -r


– Dateiname:
   • %TEMPDIR%\184.exe


– Dateiname:
   • %TEMPDIR%\husu.exe


– Dateiname:
   • %TEMPDIR%\joujbvje.exe


– Dateiname:
   • %TEMPDIR%\nrktcvy.exe


– Dateiname:
   • c:\lsass.exe exe %TEMPDIR%\nrktcvy.exe


– Dateiname:
   • %TEMPDIR%\mcillbuu.exe


– Dateiname:
   • "%SYSDIR%\cmd.exe" /c del %TEMPDIR%\husu.exe > nul


– Dateiname:
   • %TEMPDIR%\bohvby.exe


– Dateiname:
   • cmd /c %TEMPDIR%\hqgqrnbdunn.bat

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.



Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\System\CurrentControlSet\Services\ndisrd]
   • "DisplayName"="WinpkFilter Service"
   • "ErrorControl"=dword:0x00000001
   • "Group"="PNP_TDI"
   • "ImagePath"="system32\DRIVERS\ndisrd.sys"
   • "Start"=dword:0x00000003
   • "Tag"=dword:0x00000009
   • "Type"=dword:0x00000001



Der Wert des folgenden Registry keys wird gelöscht:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • internat.exe



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"=dword:0x00000000



Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Control\Network\NetCfgLockHolder]
   • "@"="Sample Netcfg Application (netcfg.exe)"

– [HKLM\SYSTEM\CurrentControlSet\Control\Network\
   {4D36E974-E325-11CE-BFC1-08002BE10318}\
   {E72B696E-A8C6-409D-9061-F9F761901156}\Parameters]
   • "Param1"="4"

– [HKLM\SYSTEM\CurrentControlSet\Control\Network\
   {4D36E974-E325-11CE-BFC1-08002BE10318}\
   {E72B696E-A8C6-409D-9061-F9F761901156}\Ndi]
   • "FilterClass"="failover"
   • "FilterDeviceInfId"="nt_ndisrdmp"
   • "HelpText"="WinpkFilter Driver"
   • "Service"="Ndisrd"

– [HKLM\SYSTEM\CurrentControlSet\Control\Network\
   {4D36E974-E325-11CE-BFC1-08002BE10318}\
   {E72B696E-A8C6-409D-9061-F9F761901156}\Ndi\Interfaces]
   • "FilterMediaTypes"="ethernet, wan"
   • "LowerRange"="nolower"
   • "UpperRange"="noupper"

– [HKLM\SYSTEM\CurrentControlSet\Control\Class\
   {4D36E972-E325-11CE-BFC1-08002BE10318}\0010]
   • "Characteristics"=dword:0x00000029
   • "ComponentId"="nt_ndisrdmp"
   • "DriverDate"="10-20-2005"
   • "DriverDateData"="%Hex Werte%"
   • "DriverDesc"="WinpkFilter Miniport"
   • "DriverVersion"="3.0.0.1"
   • "FilterInfId"="nt_ndisrd"
   • "InfPath"="oem15.inf"
   • "InfSection"="NdisrdMP.ndi"
   • "MatchingDeviceId"="nt_ndisrdmp"
   • "NetCfgInstanceId"="{3176222F-F7CE-4460-BF0E-40F4C354CAD0}"
   • "ProviderName"="NTKR"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "DHCP"="1069080"
   • "DNS"="AF6A3860,70CA3F13,1BF8782F,1BFF0A84,59B04312,D935A410,75C51962,75FEE8C0,7448CC6D,73F26375,1BF82AA1,76A1C295,744A298D,4F77A590,779A3332,73F1CC48,71203C96,D935A439,71C192E5,51541DED,53D80338,75FE0DD7,BDC26A29,7D636C89,75FEE135,77987384,BEAE0F53,75C2037C,3B5EED10,75FE7F74,75C32849,57442D77,598939D3,75C91217,70C5A4B6,70C52A68,6F5C886F,75C7B4BA,597B25C0,71C18E2C,73F208AF,779A8244,75C5B277,7A8A11A8,79F52698,B603C830,5EB7431A,59259351,75C59098,75C84704,77985045,75C003AA,29D6DE85,7C7880E9,779A79F1,70C9B1A6,75CC4477,BC191310,744A6621,BEF14F44,592E4343,5744F4D8,73BA06B0,70CB8C08,5B8998FB,779A827E,79F55472,7C7D5229,BD30D14B,75C541DB,75C7E1EF,74620477,B7574547,4E274B08,7375A14C,4E274B86,3BA17F28,779A7392,7375A6CC,75C6E399,3D02C121,7978AE86,D4105AEC,79180F5A,75C5906E,4D4E1302,70C8DFB3,73F09F78,3B676444,7375F50D,B6022311,73F0DB2F,BDDD995A,CA08EE7B,7C7B9672,75CF3606,70CACC5A,567E457D,70CB83E3,70C5DD42,3D01F761,5D9C625B,5429313A,BA5907D9,B630FEBC,592DDAF3,70C5077B,7BED2C4E,B6000BBE,CBC0E6A8,BB222A98,4E2724C8,737F08F3,CBC186DB,75C404EA,3BA1338B,546DC46E,77A64585,75C69E0F,BB037BF5,75CD11D3,70CA6B11,779A7141,7357A43A,6F5C8DB2,7CFDA5A1,BC1A1A3A,73F1CB4F,6DBA748E,70C9A8E5,D5A10549,70C5BC7F,70C5764A,B6042CA1,5EBDB005,59853196,3BA138F0,788A7EE4,779A3121,71FCF5B3,C4CE501C,73FC209B,73FC269D,29F83B00,70C5860C,75CE3313,765E52DC,73F0CF56,714C5E12,4DED43DB,762F6F3A,4FA36A09,70C5852A,73BA7306,5B89982B,79F56421,70CB9E79,73B89CE7,B45C9C2E,74620609,BB5A999E,599BC728,BB0F13A5,75C63246,7375CDCD,CA803015,70CD189F,576DE7DE,CA83A4BB,79E37365,3B59342C,3E8BDACB,75C4E570,779A778C,5C24DBD9,5DB189D7,29F92E6E,C9516F26,75C807AF,75CD61AA,75C7C420,C8140BC6,29D98B11,75FE0818,54FDCEAF,779A7F92,70C818E4,558255FB,C4CE681F,779A32C6,724FA678,5B490D6B,75C948EF,7BED442D,BA511B3D,73F1A5C1,75CF2545,CB7357E2,75C30E54,4F75A47A,7C7B7B41,5290BC31,4E3AA622,73B8DBDF,75F15882,4E274B0E,BA0E4535,6EE27356,7448D173,73F18EDE,59B8D9C0,7798FCB6,70CAA0E3,75C94AB0,B69C9F46,295C210D,79F536A6,74EE4131,779A24F6,71C1DADC,73FC2B41,779A74FE,3BA1390C,5EB7F4DB,79F56C7F,CBD727CF,3B5FD208,CEF840E1,4E274B3C,C4CE5957,7000F18B,50DDF9D1,5E345528,5744A38F,7449291C,79F51991,5D67AFC5,B75745F1,C85F9A7F,5B93DDC7,55CA2942,29CFDA4B,BCAD4294,4D4EF4AB,70C9A366,C4DA5732,BDC11407,C4CE56D6,5F6C0A6D,71C14A90,7C8234A4,C86D3D8C,70CE4E2C,BC1946F2,59D46501,7BEE798A,29FB8E36,5EB74357,BE496A74,5057F060,BE8E0D70,7C7B8FBF,3E8BDABE,C4D92A2A,7BEE7A3D,779A0CB4,70C5C2C7,6F5C8CBA,C9FE2C2F,3D01128A,C4D9D4A4,BE9E5CE3,73B8F15C,71C1E6D0,779A46EA,75C83B68,71C14E28,70C573C0,5928C587,CAA02E7A,75C7B3D7,5B539969,75FEA3C4,75621260,7BED1BDA,3B5E2DA1,7113210F,75FE6C09,3B5F64B5,5D674B2D,73F22E63,70CE0C55,75C95D7F,75CD221F,7A23564C,BE619917,7C7B0898,4F72794D,C89FC45B,75C51827,70CE55A0,7961A29A,70C525B7,3B6089DE,75C8C155,73A45184,73A4DBAF,79F58C00,BC81E8C7,3B5F0999"

– [HKLM\SYSTEM\CurrentControlSet\Control\Network\
   {4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions]
   • "WinpkFilter Miniport"="1"

– [HKLM\SYSTEM\CurrentControlSet\Control\Class\
   {4D36E972-E325-11CE-BFC1-08002BE10318}\0011]
   • "Characteristics"=dword:0x00000029
   • "ComponentId"="nt_ndisrdmp"
   • "DriverDate"="10-20-2005"
   • "DriverDateData"="%Hex Werte%"
   • "DriverDesc"="WinpkFilter Miniport"
   • "DriverVersion"="3.0.0.1"
   • "FilterInfId"="nt_ndisrd"
   • "InfPath"="oem15.inf"
   • "InfSection"="NdisrdMP.ndi"
   • "MatchingDeviceId"="nt_ndisrdmp"
   • "NetCfgInstanceId"="{43179874-A743-444B-9A07-D10E4D8F4308}"
   • "ProviderName"="NTKR"



Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Driver Signing]
   Neuer Wert:
   • "Policy"=hex:0

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
   Neuer Wert:
   • "MaxUserPort"=dword:0x0000fffe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup]
   Neuer Wert:
   • "PrivateHash"="%Hex Werte%"

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.


Betreff:
Folgende:
   • Lonely Wives Looking For Hookup



Body:
– Verwendung von HTML Inhalten.


Dateianhang:

Der Dateianhang ist eine Kopie der Malware.

 Hintertür Die folgenden Ports werden geöffnet:

– 89.149.2**********.140 am UDP Port 8811
– 89.149.2**********.222 am TCP Port 65534

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Montag, 12. Juli 2010
Die Beschreibung wurde geändert von Petre Galan am Dienstag, 20. Juli 2010

zurück . . . .