TR/Agent.DL.2 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Agent.DL.2
Entdeckt am:	24/08/2005
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	36.969 Bytes
MD5 Prüfsumme:	13f81b6b0d9cd62837cfebc22777cf63
VDF Version:	6.31.01.176 - Wed, 24 Aug 2005 21:03 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Spy.Win32.Agent.gf
   • TrendMicro: TROJ_AGENT.XZ
   • Sophos: Troj/Dermon-D
   • Panda: Trj/Agent.AII
   • VirusBuster: Trojan.Agent.PK

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Erstellt Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\winserver.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Es werden folgende Dateien erstellt:

– %SYSDIR%\winserv.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %SYSDIR%\winserv32.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
– %SYSDIR%\winserv.ini Enthält von der Malware genutzte Parameter.
– %SYSDIR%\winserv.dat Diese Datei enthält gesammelte Tastatureingaben.

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
• http://pleskin.**********.ua/part3/check.dat

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "win32 internet server"="%SYSDIR%\winserver.exe"

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Classes\https\shell\open\command]
   Alter Wert:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome
   Neuer Wert:
   • @="%PROGRAM FILES%\Internet Explorer\Iexplore.exe"

– [HKLM\SOFTWARE\Classes\http\shell\open\command]
   Alter Wert:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome
   Neuer Wert:
   • @="%PROGRAM FILES%\Internet Explorer\Iexplore.exe"

Prozess Beendigung Liste der Prozesse die beendet werden:
   • zonealarm.exe
   • zonalm2601.exe
   • outpost.exe

Hintertür Die folgenden Ports werden geöffnet:

– %SYSDIR%\lsass.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.
– %SYSDIR%\lsass.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.

Kontaktiert Server:
Den folgenden:
   • http://pleskin.**********.ua/

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.
Dies geschieht mittels der HTTP POST Methode unter Verwendung eines PHP Scripts.

Sende Informationen über:
    • Erstellte Protokolldatei
    • Umgebungsvariablen
    • IP Adresse
    • Informationen über das Netzwerk
    • Geöffneter Port
    • Information über das Windows Betriebsystem

Diebstahl – Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • https://www.e-gold.com/acct/balance.asp
   • https://www.e-gold.com/acct/accountinfo.asp
   • https://www.e-gold.com/acct/acct.asp

– Nachdem eine Webseite besucht wurde dessen URL eine der folgenden Substings enthält, wird eine Protokollfunktion gestartet:
   • "e-gold"
   • "e-bullion"
   • "intgold"
   • "1MDC"
   • "Pecunix"
   • "GoldMoney"
   • "Virtualgold"
   • "NetPay"
   • "paymer"
   • "e-gold"
   • "e-bullion"
   • "intgold"
   • "1MDC"
   • "Pecunix"
   • "GoldMoney"
   • "Virtualgold"
   • "NetPay"
   • "paymer"

– Aufgezeichnet wird:
    • Tastaturanschläge
    • Fensterinformation

Injektion – Es injiziert sich als einen Thread in einen Prozess.

Prozessname:
• lsass.exe

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• IS_ALIVE

Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.

Versteckt folgendes:
– Eigene Dateien

Eingesetzte Methode:
• Unsichtbar von Windows API

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Borland C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Oliver Auerbach am Wed, 24 Aug 2005 20:58 (GMT+1)
Beschreibung geändert von Oliver Auerbach am Fri, 26 Aug 2005 00:31 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück