Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:BDS/Agent.58368.3
Entdeckt am:30/08/2012
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Hoch
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:58.368 Bytes
MD5 Prüfsumme:3CCFB3CA8C0AAAA4E93856BC79570106
VDF Version:7.11.41.90 - Donnerstag, 30. August 2012
IVDF Version:7.11.41.90 - Donnerstag, 30. August 2012

 Allgemein Verbreitungsmethode:
   • Email


Alias:
   •  Microsoft: Win32/Gamarue.I


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Ermöglicht unbefugten Zugriff auf den Computer
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: C:\Documents and Settings\All Users Mit einem der folgenden Namen:
   • svchost.exe

– An: %ALLUSERSPROFILE%\Local Settings\Temp Mit einem der folgenden Namen:
   • %zufällige Buchstabenkombination%.bat
   • %zufällige Buchstabenkombination%.pif
   • %zufällige Buchstabenkombination%.scr
   • %zufällige Buchstabenkombination%.com


 Registry Zu jedem Registry key wird je einer der Werte hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdateSched"="%ALLUSERSPROFILE%\svchost.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%Nummer%"="%ALLUSERSPROFILE%\Local Settings\Temp\%zufällige Buchstabenkombination%.pif"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%Nummer%"="%ALLUSERSPROFILE%\Local Settings\Temp\%zufällige Buchstabenkombination%.bat"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%Nummer%"="%ALLUSERSPROFILE%\Local Settings\Temp\%zufällige Buchstabenkombination%.scr"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%Nummer%"="%ALLUSERSPROFILE%\Local Settings\Temp\%zufällige Buchstabenkombination%.com"

 Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.
Der Absender der Email ist folgender:
   • notification+aaic-mm-nir_@facebookmail.com


Betreff:
Folgende:
   • Your friend wants to share photos and updates with you



Body:
– Verwendung von HTML Inhalten.
Der Body der Email ist folgender:

   • One of your friends wants to share photos and updates with you.
     
     One of your friends has invited you to Facebook. After you sign up, you'll be able to stay connected with friends by sharing photos and videos, posting status updates, sending messages and more.


Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • Your_Friend_New_photos-updates_id%Nummer%.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.



Die Email sieht wie folgt aus:


 Hintertür Der folgende Port wird geöffnet:

– %ALLUSERSPROFILE%\svchost.exe am TCP Port 8000 um eine Shell zur Verfügung zu stellen.


Kontaktiert Server:
Den folgenden:
   • http://stripe**********image.php

Sobald die Verbindung hergestellt ist wird eine weitere Liste mit Servern abgerufen.
Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Sende Informationen über:
    • Aktueller Malware Status
    • Benutzername

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • %SYSDIR%\wuauclt.exe


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Verschlüsselung:
Verschlüsselung: Der virulente Code ist verschlüsselt

Die Beschreibung wurde erstellt von Ana Maria Niculescu am Donnerstag, 30. August 2012
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 30. August 2012

zurück . . . .