Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/VBKrypt.devc.1
Entdeckt am:03/06/2011
Art:Trojan
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Dateigröße:49.152 Bytes
MD5 Prüfsumme:CF2445B2C06AF8757BB5C598F85BB22E
VDF Version:7.11.08.254 - Freitag, 3. Juni 2011
IVDF Version:7.11.08.254 - Freitag, 3. Juni 2011

 Allgemein Verbreitungsmethode:
   • Email
   • Durch Aufrufen infizierter Websites


Aliases:
   •  Symantec: W32.SillyIRC
   •  TrendMicro: WORM_NUSUMP.C
   •  Microsoft: Worm:Win32/Nusump


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Auswirkungen:
   • Ermöglicht unbefugten Zugriff auf den Computer
   • Terminierung von Sicherheitsprogrammen
   • Erstellt Dateien
   • Änderung an der Registry
   • Verfügt über eigene Email Engine
   • Stiehlt Informationen
   • Macht sich Software Verwundbarkeit zu nutzen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %TEMPDIR%\%zufällige Buchstabenkombination%.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

%SYSDIR%\wbem\Logs\wbemprox.log Enthält von der Malware genutzte Parameter.

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {254F4E25-A65F-2764-0003-070806050704}]
   • "StubPath"="%TEMPDIR%\%zufällige Buchstabenkombination%.exe"

 Prozess Beendigung Liste der Prozesse die beendet werden:
   • AvastSvc.exe
   • avgcsrvx.exe
   • avguard.exe
   • avgupd.exe
   • avp.exe
   • ccSvcHst.exe
   • ekrn.exe
   • mcupdate.exe
   • update.exe


 Hintertür Kontaktiert Server:
Den folgenden:
   • 200.58.119.**********:443

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Sende Informationen über:
    • Information über das Windows Betriebsystem


Möglichkeiten der Fernkontrolle:
    • Emails verschicken
    • Prozess beenden
    • Besuch einer Webseite

 Injektion – Es injiziert sich als einen Remote Thread in einen Prozess.

    Prozessname:
   • explorer.exe

   War dies erfolgreich so beendet sich der Prozess der Malware wobei der injizierte Teil aktiv bleibt.

 Diverses String:
Des Weiteren enthält es folgende Zeichenketten:
   • select * from moz_logins
   • \Mozilla\Firefox\

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Ilie am Montag, 1. August 2011
Die Beschreibung wurde geändert von Andrei Ilie am Mittwoch, 3. August 2011

zurück . . . .