Name:TR/Dldr.Agent.dxcpn
Entdeckt am:09/08/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:36.864 Bytes
MD5 Prüfsumme:49e1d3e6ae4dd016829ba86fbf9bef07
IVDF Version:7.10.10.126 - Montag, 9. August 2010

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: Trojan.Sasfis
   •  Mcafee: Artemis!49E1D3E6AE4D
   •  Microsoft: Trojan:Win32/Meredrop
   •  PCTools: Trojan.Sasfis
   •  AhnLab: Dropper/Win32.Malware
   •  DrWeb: Trojan.MulDrop1.40399


Betriebsysteme:
   • Windows 98
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Lädt eine Dateien herunter
   • Lädt schädliche Dateien herunter

 Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

%TEMPDIR%\2771.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Dies ist eine nicht virulente Textdatei. Sie enthält Informationen über das Programm selbst.



Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://pt**********=51
Diese wird lokal gespeichert unter: %TEMPDIR%\1.tmp Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Agent.20480.AB


– Die URL ist folgende:
   • http://r**********ml
Diese wird lokal gespeichert unter: %TEMPDIR%\2.tmp Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Crypt.XPACK.Gen

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Carlos Valero Llabata am Mittwoch, 11. August 2010
Die Beschreibung wurde geändert von Carlos Valero Llabata am Mittwoch, 11. August 2010

zurück . . . .