Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:BDS/Agent.58368.3
Entdeckt am:30/08/2012
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Hoch
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:58.368 Bytes
MD5 Prfsumme:3CCFB3CA8C0AAAA4E93856BC79570106
VDF Version:7.11.41.90 - Donnerstag, 30. August 2012
IVDF Version:7.11.41.90 - Donnerstag, 30. August 2012

 Allgemein Verbreitungsmethode:
   • Email


Alias:
     Microsoft: Win32/Gamarue.I


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
   • Ermglicht unbefugten Zugriff auf den Computer
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry

 Dateien Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
An: C:\Documents and Settings\All Users Mit einem der folgenden Namen:
   • svchost.exe

An: %ALLUSERSPROFILE%\Local Settings\Temp Mit einem der folgenden Namen:
   • %zufllige Buchstabenkombination%.bat
   • %zufllige Buchstabenkombination%.pif
   • %zufllige Buchstabenkombination%.scr
   • %zufllige Buchstabenkombination%.com


 Registry Zu jedem Registry key wird je einer der Werte hinzugefgt um die Prozesse nach einem Neustart des Systems erneut zu starten.

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SunJavaUpdateSched"="%ALLUSERSPROFILE%\svchost.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%Nummer%"="%ALLUSERSPROFILE%\Local Settings\Temp\%zufllige Buchstabenkombination%.pif"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%Nummer%"="%ALLUSERSPROFILE%\Local Settings\Temp\%zufllige Buchstabenkombination%.bat"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%Nummer%"="%ALLUSERSPROFILE%\Local Settings\Temp\%zufllige Buchstabenkombination%.scr"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "%Nummer%"="%ALLUSERSPROFILE%\Local Settings\Temp\%zufllige Buchstabenkombination%.com"

 Email Die Malware verfgt ber keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgefhrt:


Von:
Die Absenderadresse wurde geflscht.
Der Absender der Email ist folgender:
   • notification+aaic-mm-nir_@facebookmail.com


Betreff:
Folgende:
   • Your friend wants to share photos and updates with you



Body:
– Verwendung von HTML Inhalten.
Der Body der Email ist folgender:

   • One of your friends wants to share photos and updates with you.
     
     One of your friends has invited you to Facebook. After you sign up, you'll be able to stay connected with friends by sharing photos and videos, posting status updates, sending messages and more.


Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • Your_Friend_New_photos-updates_id%Nummer%.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthlt.



Die Email sieht wie folgt aus:


 Hintertr Der folgende Port wird geffnet:

%ALLUSERSPROFILE%\svchost.exe am TCP Port 8000 um eine Shell zur Verfgung zu stellen.


Kontaktiert Server:
Den folgenden:
   • http://stripe**********image.php

Sobald die Verbindung hergestellt ist wird eine weitere Liste mit Servern abgerufen.
Hierdurch knnen Informationen gesendet und Hintertrfunktionen bereitgestellt werden.

Sende Informationen ber:
     Aktueller Malware Status
     Benutzername

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • %SYSDIR%\wuauclt.exe


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Verschlsselung:
Verschlsselung: Der virulente Code ist verschlsselt

Die Beschreibung wurde erstellt von Ana Maria Niculescu am Donnerstag, 30. August 2012
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 30. August 2012

zurück . . . .