Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Meredrop.A.12421
Entdeckt am:08/08/2010
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:189.440 Bytes
MD5 Prfsumme:ada7ddfbc9abd5686fd8caa8a85b67d1
VDF Version:7.10.09.170
IVDF Version:7.10.10.104 - Sonntag, 8. August 2010

 General Verbreitungsmethode:
   • Lokales Netzwerk


Aliases:
   •  Mcafee: Downloader-CEW.a
   •  Kaspersky: Worm.Win32.Pinit.rl
   •  TrendMicro: TROJ_FAKEAV.SMZU
   •  Sophos: Mal/FakeAV-EI
     Avast: Win32:MalOb-BU
     Microsoft: Trojan:Win32/Meredrop
   •  Panda: W32/Pinit.M.worm
     PCTools: Trojan.FakeAV
   •  VirusBuster: Worm.Pinit.VN
AhnLab: Trojan/Win32.FakeAV
     Authentium: W32/Trojan2.NCZZ
     Fortinet: W32/Pinit.EI!worm
     Ikarus: Worm.Win32.Pinit
     Norman: W32/Pinit.CD


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista


Auswirkungen:
   • Ldt Dateien herunter
   • Erstellt schdliche Dateien
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\cooper.mine



Es werden folgende Dateien erstellt:

%SYSDIR%\user32.dll
%SYSDIR%\dllcache\user32.dll Erkannt als: TR/Patched.gq.16

%SYSDIR%\nmklo.dll Erkannt als: WORM/Pinit.MT

%SYSDIR%\h7t.wt
%SYSDIR%\ff4h.gy
%SYSDIR%\hgtd.ruy



Es wird versucht die folgenden Dateien herunterzuladen:

Die URL ist folgende:
   • silajopa.com/tpsa/gate/**********


Die URL ist folgende:
   • silajopa.com/tpsa/gate/**********




Es wird versucht folgende Datei auszufhren:

Dateiname:
   • %SYSDIR%\Wbem\wmic.exe
unter Zuhilfenahme folgender Kommandozeilen-Parameter: path win32_terminalservicesetting where (__Class!="") call setallowtsconnections 1

 Registry Folgende Registryschlssel werden hinzugefgt:

[HKLM\Software\microsoft\Windows NT\CURRENTVERSION\WINDOWS]
   • "Appiaat_Dlls"="nmklo"

[HKLM\SOFTWARE\1]
   • "31AC70412E939D72A9234CDEBB1AF5867B"="efipdhioiijnjpjcjmidigiggmgfgkgkhkhfcojedpemjgfcinfdff" "31897356954C2CD3D41B221E3F24F99BBA"=dword:03f940aa
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:00000000

[HKLM\SOFTWARE\3]
   • "31AC70412E939D72A9234CDEBB1AF5867B"="nqrckqqlqdrqrirprhqoqrqdopoinfnhmjmqrjrjlmmdmqrpmeqhmnng"
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:03f940aa
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:00000000

[HKLM\SOFTWARE\9]
   • "31AC70412E939D72A9234CDEBB1AF5867B"="kgomncpjpnogoconproiodorqjqoqhqfrprgmlmlocrhrlqnogkrpcpipp"
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:03f940aa
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:00000000

[HKLM\SYSTEM\ControlSet001\Control\Terminal Server\Licensing Core]
   • "EnableConcurrentSessions"=dword:00000001



Folgender Registryschlssel wird gendert:

[HKLM\SYSTEM\ControlSet001\Control\Terminal Server]
   Neuer Wert:
   • "fDenyTSConnections"=dword:00000000

 Infektion ber das Netzwerk Exploit:
Folgende Sicherheitslcke wird ausgenutzt:
– MS04-011 (LSASS Vulnerability)

 Prozess Beendigung Liste der Prozesse die beendet werden:
   • zlclient.exe
   • outpost.exe
   • avgcc.exe
   • kpf4ss.exe
   • kavpf.exe
   • mpfsrv.exe


 Hintertr Der folgende Port wird geffnet:

svchost.exe am TCP Port 3389 um Backdoor Funktion zur Verfgung zu stellen.

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Alexandru Dinu am Donnerstag, 30. September 2010
Die Beschreibung wurde geändert von Alexandru Dinu am Donnerstag, 30. September 2010

zurück . . . .