Name:TR/Scar.bxqc
Entdeckt am:24/03/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel bis hoch
Statische Datei:Ja
Dateigröße:225.280 Bytes
MD5 Prüfsumme:0f728c1187e046662148ee7021e4b3b1
VDF Version:7.10.02.73
IVDF Version:7.10.05.192 - Mittwoch, 24. März 2010

 General Aliases:
   •  Bitdefender: Trojan.Agent.APCE
   •  Panda: Bck/Oscarbot.YL
   •  Eset: Win32/Sality.NAE


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\into.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Folgende Datei wird gelöscht:
   • %SYSDIR%\wmimgr32.dl_



Es werden folgende Dateien erstellt:

%SYSDIR%\wmimgr32.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Sality.L

%SYSDIR%\wmimgr32.dl_ Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Sality.L.1




Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://www.invis1blearm3333.com/**********/?id607421


– Die URLs sind folgende:
   • http://saeu.ego**********.com/?id607421
   • http://ngmtrl.555**********.com/?id607421
   • http://wbrqu.wtc**********.com/?id607421
   • http://cqjri.fdp**********.com/?id607421
   • http://rkvv.bpf**********.com/?id607421
   • http://vmmucs.u7z**********.com/?id607421
   • http://searchportal.inf**********.com/?o_id=%Nummer%&domainname=%Zeichenfolge%
   • http://gcst.zvc**********.com/?id607421
   • http://www.rus**********.com/
   • http://sp7.you**********.com/?acc=%Zeichenfolge%&dm=%Zeichenfolge%


– Die URL ist folgende:
   • http://sp7.yousee.com/Landers/lander_6/**********?q=%Nummer%




Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • %WINDIR%\syste

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%ausgeführte Datei%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "person"="%SYSDIR%\into.exe"

 Hintertür Die folgenden Ports werden geöffnet:

– sam5.mom**********.com am UDP Port 5051
– sam2.123**********.com am UDP Port 5051

 Injektion –  Es injiziert folgende Datei in einen Prozess: %SYSDIR%\wmimgr32.dll

    Prozessname:
   • explorer.exe


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 23. Juli 2010
Die Beschreibung wurde geändert von Andrei Ivanes am Freitag, 30. Juli 2010

zurück . . . .