Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Drop.Agent.tzb
Entdeckt am:29/12/2008
Art:Trojan
Nebenart:Dropper
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:112.640 Bytes
MD5 Prfsumme:46d5d944e89a3584f20583b3f2de51cb
VDF Version:7.01.01.40
IVDF Version:7.01.01.43 - Montag, 29. Dezember 2008

 Allgemein Verbreitungsmethode:
    Autorun Dateien


Aliases:
   •  Mcafee: W32/YahLover.worm.gen
   •  Sophos: W32/Autorun-BLY
   •  Bitdefender: Worm.Generic.52609
   •  Panda: W32/VenoMLucifer.A
   •  Eset: BAT/Autorun.B


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Blockiert Zugriff auf verschiedene Webseiten
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Erstellt schdliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %Laufwerk%\SystemVolumeInformation\LucifeR.exe



Eine Datei wird berschreiben.
%SYSDIR%\drivers\etc\hosts



Es werden folgende Dateien erstellt:

%Laufwerk%\AutoruN.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

%SYSDIR%\COM17949.DLL
%TEMPDIR%\bt38830.bat Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BAT/Mevon.A




Es versucht folgende Dateien auszufhren:

Dateiname:
   • cmd.exe /c %TEMPDIR%\bt38830.bat %ausgefhrte Datei%


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t reg_dword /d "1" /f


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d "1" /f


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoFolderOptions /t reg_dword /d "1" /f


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoFind /t reg_dword /d "1" /f


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced" /v Hidden /t reg_dword /d "2" /f


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d "0" /f


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d "1" /f


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoRecycleFiles /t reg_dword /d "1" /f


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoPropertiesMyComputer /t reg_dword /d "1" /f


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v DisallowRun /t reg_dword /d "1" /f


Dateiname:
   • taskkill /f /im Ad-Watch.EXE


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d "0" /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Policies\Microsoft\windows NT\SystemRestore" /v DisableConfig /t reg_dword /d "1" /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Policies\Microsoft\windows NT\SystemRestore" /v DisableSR /t reg_dword /d "1" /f


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 1 /t reg_sz /d "notepad.exe" /f


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 2 /t reg_sz /d "HijackThis.exe" /f


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 3 /t reg_sz /d "wordpad.exe" /f


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 4 /t reg_sz /d "rstrui.exe" /f


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 5 /t reg_sz /d "taskmgr.exe" /f


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 5 /t reg_sz /d "msconfig.exe" /f


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 6 /t reg_sz /d "regedit.exe" /f


Dateiname:
   • attrib +s +h "%HOME%\Application Data\Micro$oft\desktop.log"


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 7 /t reg_sz /d "HiJackThis_v2.exe" /f


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 10 /t reg_sz /d "cmd.exe" /f


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 11 /t reg_sz /d "ibprocman.exe" /f


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 12 /t reg_sz /d "explorer.exe" /f


Dateiname:
   • reg add "HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\DisallowRun" /v 13 /t reg_sz /d "integrator.exe.exe" /f


Dateiname:
   • find /i "metroflog" "%SYSDIR%\drivers\etc\hosts"


Dateiname:
   • reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t reg_sz /d "www.google.com.mx" /f


Dateiname:
   • reg add "HKCU\VenoM.LucifeR.17949179491794917949\suriV" /v "Tu has sido derrotado de nuevo por VenoM" /d "Burn in Hell" /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\GPEDIT.MSC" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\attrib.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Dateiname:
   • attrib -s -h -r -a %ausgefhrte Datei%


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\cmd.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\command.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\del.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\Dxdiag.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\notepad.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\reg.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\regedit.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\taskkill.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\tskill.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\HELPCTR.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Dateiname:
   • reg add "HKLM\Software\Microsoft\windows\CurrentVersion\Run" /v CTFMON.EXE /t reg_sz /d "%WINDIR%\svchost.exe" /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\MSCONFIG.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\VenoM.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\wordpad.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\666.exe" /v "" /t reg_sz /d "%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com" /f


Dateiname:
   • attrib +h +s C:\WINDOWS


Dateiname:
   • attrib +s +h "%SYSDIR%"


Dateiname:
   • attrib +s +h "%WINDIR%\notepad.exe"


Dateiname:
   • attrib +s +h "%SYSDIR%\notepad.exe"


Dateiname:
   • attrib +s +h +r +a %Laufwerk%\AutoruN.inf


Dateiname:
   • attrib +s +h "%Laufwerk%\SystemVolumeInformation\*.exe"


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows NT\CurrentVersion\winlogon" /v Shell /t reg_sz /d "Explorer.exe %Papierkorb%\NTDETECT.EXE" /f


Dateiname:
   • attrib +s +h "%Laufwerk%\SystemVolumeInformation"


Dateiname:
   • attrib -h -s -r -a %ausgefhrte Datei%


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System" /v DisableTaskMgr /t reg_dword /d "1" /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System" /v DisableRegistryTools /t reg_dword /d "1" /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoFolderOptions /t reg_dword /d "1" /f


Dateiname:
   • reg add "HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer" /v NoFind /t reg_dword /d "1" /f

 Registry Folgende Registryschlssel werden hinzugefgt:

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\666.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   MSCONFIG.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer]
   • "DisallowRun"=dword:0x00000001
   • "NoFind"=dword:0x00000001
   • "NoFolderOptions"=dword:0x00000001
   • "NoPropertiesMyComputer"=dword:0x00000001
   • "NoRecycleFiles"=dword:0x00000001

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   HELPCTR.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Policies\Microsoft\windows NT\SystemRestore]
   • "DisableConfig"=dword:0x00000001
   • "DisableSR"=dword:0x00000001

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   VenoM.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   GPEDIT.MSC]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   Dxdiag.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKCU\VenoM.LucifeR.17949179491794917949\suriV]
   • "Tu has sido derrotado de nuevo por VenoM"="Burn in Hell"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   tskill.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   taskkill.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   regedit.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   attrib.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer]
   • "NoFind"=dword:0x00000001
   • "NoFolderOptions"=dword:0x00000001

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\reg.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   command.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Policies\Explorer\
   DisallowRun]
   • "1"="notepad.exe"
   • "10"="cmd.exe"
   • "11"="ibprocman.exe"
   • "12"="explorer.exe"
   • "13"="integrator.exe.exe"
   • "2"="HijackThis.exe"
   • "3"="wordpad.exe"
   • "4"="rstrui.exe"
   • "5"="msconfig.exe"
   • "6"="regedit.exe"
   • "7"="HiJackThis_v2.exe"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   notepad.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\cmd.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\del.exe]
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\Software\Microsoft\windows\CurrentVersion\Run]
   • "CTFMON.EXE"="%WINDIR%\svchost.exe"



Folgende Registryschlssel werden gendert:

[HKLM\SOFTWARE\Classes\VBSFile\Shell\Open\Command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\inifile\shell\open\command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\App Paths\
   wordpad.exe]
   Neuer Wert:
   • "@"="%SYSDIR%\drivers\etc\Proceso inactivo del sistema.com"

[HKLM\SOFTWARE\Classes\MSCFile\Shell\Open\Command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\JSFile\Shell\Open\Command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\piffile\shell\open\command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\VBEFile\Shell\Open\Command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\inffile\shell\open\command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced]
   Neuer Wert:
   • "Hidden"=dword:0x00000002
   • "HideFileExt"=dword:0x00000001
   • "ShowSuperHidden"=dword:0x00000000

[HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Neuer Wert:
   • "CheckedValue"=dword:0x00000000

[HKLM\SOFTWARE\Microsoft\windows NT\CurrentVersion\winlogon]
   Neuer Wert:
   • "Shell"="Explorer.exe %Papierkorb%\NTDETECT.EXE"

[HKLM\SOFTWARE\Classes\batfile\shell\open\command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKCU\Software\Microsoft\Internet Explorer\Main]
   Neuer Wert:
   • "Start Page"="www.google.com.mx"

[HKLM\SOFTWARE\Classes\cmdfile\shell\open\command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\regfile\shell\open\command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

[HKLM\SOFTWARE\Classes\txtfile\shell\open\command]
   Neuer Wert:
   • "@"="%SYSDIR%\mshta.exe "%userprofile%\Plantillas\Leviathan.hta""

 Hosts Die hosts Datei wird wie folgt gendert:

In diesem Fall bleiben bestehende Eintrge erhalten.

Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • 127.0.0.1 www.metroflog.com
   • 127.0.0.1 www.hotmail.com
   • 127.0.0.1 www.google.com


 Prozess Beendigung Folgender Prozess wird beendet:
   • Ad-Watch.EXE


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Freitag, 25. Februar 2011
Die Beschreibung wurde geändert von Petre Galan am Freitag, 25. Februar 2011

zurück . . . .