TR/Tcom.2 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Tcom.2
Entdeckt am:	20/07/2005
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig
Statische Datei:	Ja
Dateigröße:	26.624 Bytes
MD5 Prüfsumme:	8e3cf147f6d642b4e0808cec743d856e
VDF Version:	6.31.0.234

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Backdoor.Nibu.L
   • Mcafee: BackDoor-CCT
   • Kaspersky: Trojan-Spy.Win32.Agent.fe
   • TrendMicro: TROJ_DUMADOR.AV
   • VirusBuster: Backdoor.Dumador.BM

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Setzt Sicherheitseinstellungen herunter
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\windldra.exe

Folgende Datei wird gelöscht:
• %WINDIR%\send_logs_trigger

Es werden folgende Dateien erstellt:

– %WINDIR%\netdx.dat Diese Datei dient als Flag für eine interne Routine.
– %WINDIR%\dvpd.dll
– %WINDIR%\prntsvra.dll
– %TEMPDIR%\fe43e701.htm Diese Datei enthält gesammelte Tastatureingaben.
– %WINDIR%\prntc.log
– %WINDIR%\prntk.log

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\software\microsoft\windows\currentversion\run\]
   • "load32"="%SYSDIR%\winldra.exe"

Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\software\sars\]
   • "SocksPort"=dword:%zufällige Buchstabenkombination%

– [HKCU\software\microsoft\internet explorer\main\]
   • "AllowWindowReuse"=dword:00000000

Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall bleiben bestehende Einträge erhalten.

– Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • www.trendmicro.com; trendmicro.com; rads.mcafee.com;
      customer.symantec.com; liveupdate.symantec.com; us.mcafee.com;
      updates.symantec.com; update.symantec.com; www.nai.com; nai.com;
      secure.nai.com; dispatch.mcafee.com; download.mcafee.com;
      www.my-etrust.com; my-etrust.com; mast.mcafee.com; ca.com; www.ca.com;
      networkassociates.com; www.networkassociates.com; avp.com;
      www.kaspersky.com; www.avp.com; kaspersky.com; www.f-secure.com;
      f-secure.com; viruslist.com; www.viruslist.com;
      liveupdate.symantecliveupdate.com; mcafee.com; www.mcafee.com;
      sophos.com; www.sophos.com; symantec.com;
      securityresponse.symantec.com; us.mcafee.com/root/; www.symantec.com

Die modifizierte Host Datei sieht wie folgt aus:

Hintertür Die folgenden Ports werden geöffnet:

– %ausgeführte Datei% an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– %ausgeführte Datei% am TCP Port 9125 um Backdoor Funktion zur Verfügung zu stellen.

Kontaktiert Server:
Den folgenden:
   • http://222.36.41.**********/system32/logger.php

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Sende Informationen über:
    • Erstellte Protokolldatei
    • Informationen über das Netzwerk
    • Plattform ID

Diebstahl Es wird versucht folgende Information zu klauen:

– Passwörter folgender Programme:
   • WebMoney
   • Far Manager
   • Total Commander
   • Outlook
   • Outlook Express

– Nachdem eine Webseite besucht wurde dessen URL eine der folgenden Substings enthält, wird eine Protokollfunktion gestartet:
   • "gold"; "Storm"; "e-metal"; "Money"; "money"; "WM Keeper"; "Keeper";
      "Fethard"; "fethard"; "bull"; "Bull"; "mull"; "PayPal"; "Bank";
      "bank"; "cash"; "anz"; "ANZ"; "shop"; "Shop"; "..."; "ebay"; "invest";
      "casino"; "bookmak"; "pay"; "member"; "fund"; "Invest"; "Casino";
      "Bookmak"; "Pay"; "Member"; "Fund"; "bet"; "Bet"; "bill"; "Bill";
      "login"; "Login"

– Aufgezeichnet wird:
    • Tastaturanschläge
    • Fensterinformation
    • Browserfenster
    • Anmeldeinformation

Injektion – Es injiziert sich in einen Prozess.

Prozessname:
• Internet Explorer

Kurzfassung hier.

Beschreibung erstellt von Sergiu Oprea am Wed, 03 Aug 2005 11:04 (GMT+1)
Beschreibung geändert von Oliver Auerbach am Tue, 18 Oct 2005 21:47 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück