Name:TR/Spy.151552.117
Entdeckt am:22/04/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:151.552 Bytes
MD5 Prüfsumme:07dd1f4579bf209c5c6b91a62d51ade9
IVDF Version:7.10.06.175 - Donnerstag, 22. April 2010

 General Verbreitungsmethoden:
   • Autorun Dateien
   • Peer to Peer


Aliases:
   •  Bitdefender: Win32.Worm.Rimecud.K
   •  Eset: Win32/Peerfrag.GL


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt schädliche Dateien
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %Laufwerk%\SANJAM\STOBOM.exe
   • %HOME%\csrss.exe



Es wird folgende Datei erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://188.165.155.233/**********

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%HOME%\csrss.exe"

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:   Um Standard-Download-Verzeichnisse in Erfahrung zu bringen werden folgende Registry Einträge ausgelesen:
   • Software\BearShare\General
   • Software\iMesh\General
   • Software\Shareaza\Shareaza\Downloads
   • Software\Kazaa\LocalContent
   • Software\DC++
   • Software\eMule
   • Software\Microsoft\Windows\CurrentVersion\Uninstall\eMule Plus_is1


 Hintertür Der folgende Port wird geöffnet:

– sandra.pri**********.com am UDP Port 49000

 Injektion – Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • explorer.exe


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 12. August 2010
Die Beschreibung wurde geändert von Petre Galan am Donnerstag, 12. August 2010

zurück . . . .