Name:TR/VB.Small.122882
Entdeckt am:14/04/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:122.882 Bytes
MD5 Prüfsumme:8e72e74e83a9d84cd45099e1182c2439
IVDF Version:7.10.06.71 - Mittwoch, 14. April 2010

 General Aliases:
   •  Sophos: Mal/VBInject-T
   •  Bitdefender: Trojan.Generic.KD.6894
   •  Panda: W32/ButterflyBot.C.worm
   •  Eset: Win32/Boberog.AK


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ermöglicht unbefugten Zugriff auf den Computer
   • Setzt Sicherheitseinstellungen herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\secfil.exe



Es wird folgende Datei erstellt:

– C:\a.txt



Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • "%WINDIR%\secfil.exe"

 Registry Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%ausgeführte Datei%"="%ausgeführte
      Datei%:*:Enabled:Userinit"



Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • "Userinit"="%SYSDIR%\userinit.exe,%WINDIR%\secfil.exe"

 IRC Um Systeminformationen zu übermitteln und Fernsteuerung sicherzustellen wird eine Verbindung mit folgendem IRC Server hergestellt:

Server: stores.del**********.net
Port: 1234
Channel: #dl#
Nickname: n[USA|XP]%Nummer%

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 22. Juli 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 22. Juli 2010

zurück . . . .