Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Obisty.A
Entdeckt am:19/12/2012
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:148.992 Bytes
MD5 Prüfsumme:89FA070B12AEE94C97F15AFBC8404E00
VDF Version:7.11.54.86 - Mittwoch, 19. Dezember 2012
IVDF Version:7.11.54.86 - Mittwoch, 19. Dezember 2012

 Allgemein Verbreitungsmethode:
   • Durch Aufrufen infizierter Websites

Ähnliche Erkennung:
   •  JS/Redirector.SB
   •  EXP/Pidief.zar


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Ermöglicht unbefugten Zugriff auf den Computer
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %APPDATA%\KB%achtstellige zufällige Buchstabenkombination%.exe



Es wird folgende Datei erstellt:

%TEMPDIR%\exp3.tmp.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %APPDATA%\KB%achtstellige zufällige Buchstabenkombination% .exe

 Hintertür Kontaktiert Server:
Einer der folgenden:
   • http://84.22.100.108:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://182.237.17.180:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://123.49.61.59:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://204.15.30.202:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://64.76.19.236:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://59.90.221.6:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://210.56.23.100:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://94.73.129.120:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://174.143.174.136:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://203.217.147.52:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://74.207.237.170:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://23.29.73.220:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://69.64.89.82:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://74.63.229.10:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://74.86.113.66:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://174.121.188.156:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://50.22.94.96:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://173.203.102.204:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://74.117.107.25:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://174.142.68.239:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://188.212.156.170:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://188.120.226.30:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://78.28.120.32:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://217.65.100.41:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://81.93.250.157:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%
   • http://188.40.109.204:8080/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%/%zufällige Buchstabenkombination%

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels der HTTP POST Methode unter Verwendung eines PHP Scripts.

 Injektion – Se injecteaza ca un thread remote in procese.

Es wird in alle Prozesse injiziert.


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Liviu Serban am Mittwoch, 19. Dezember 2012
Die Beschreibung wurde geändert von Andrei Gherman am Mittwoch, 19. Dezember 2012

zurück . . . .