Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Obisty.A
Entdeckt am:19/12/2012
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:148.992 Bytes
MD5 Prfsumme:89FA070B12AEE94C97F15AFBC8404E00
VDF Version:7.11.54.86 - Mittwoch, 19. Dezember 2012
IVDF Version:7.11.54.86 - Mittwoch, 19. Dezember 2012

 Allgemein Verbreitungsmethode:
   • Durch Aufrufen infizierter Websites

hnliche Erkennung:
     JS/Redirector.SB
     EXP/Pidief.zar


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
   • Ermglicht unbefugten Zugriff auf den Computer
   • nderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %APPDATA%\KB%achtstellige zufllige Buchstabenkombination%.exe



Es wird folgende Datei erstellt:

%TEMPDIR%\exp3.tmp.bat Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu lschen.

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %APPDATA%\KB%achtstellige zufllige Buchstabenkombination% .exe

 Hintertr Kontaktiert Server:
Einer der folgenden:
   • http://84.22.100.108:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://182.237.17.180:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://123.49.61.59:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://204.15.30.202:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://64.76.19.236:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://59.90.221.6:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://210.56.23.100:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://94.73.129.120:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://174.143.174.136:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://203.217.147.52:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://74.207.237.170:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://23.29.73.220:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://69.64.89.82:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://74.63.229.10:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://74.86.113.66:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://174.121.188.156:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://50.22.94.96:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://173.203.102.204:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://74.117.107.25:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://174.142.68.239:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://188.212.156.170:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://188.120.226.30:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://78.28.120.32:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://217.65.100.41:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://81.93.250.157:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%
   • http://188.40.109.204:8080/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%/%zufllige Buchstabenkombination%

Hierdurch knnen Informationen gesendet und Hintertrfunktionen bereitgestellt werden. Dies geschieht mittels der HTTP POST Methode unter Verwendung eines PHP Scripts.

 Injektion  Se injecteaza ca un thread remote in procese.

Es wird in alle Prozesse injiziert.


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Liviu Serban am Mittwoch, 19. Dezember 2012
Die Beschreibung wurde geändert von Andrei Gherman am Mittwoch, 19. Dezember 2012

zurück . . . .