TR/Agent.JH.1 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Agent.JH.1
Entdeckt am:	28/09/2005
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	103.447 Bytes
MD5 Prüfsumme:	28b891a152e6c9430f5ad2023b3694e1
VDF Version:	6.32.0.46

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Backdoor.Dagonit
   • VirusBuster: Trojan.Agent.GT

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Folgende Dateien werden gelöscht:
   • %SYSDIR%\dllcache\winlogon.exe
   • %SYSDIR%\dllcache\termsrv.dll
   • %SYSDIR%\dllcache\mstscax.dll

Es werden folgende Dateien erstellt:

– %SYSDIR%\wpap.exe
– %SYSDIR%\dalia2.exe
– %SYSDIR%\winspool.exe Erkannt als: TR/Agent.JH.2

– %SYSDIR%\dali.reg Diese Datei dient als Flag für eine interne Routine.
– %SYSDIR%\system.bat Diese Batchdatei wird genutzt um eine Datei zu löschen. Erkannt als: TR/Agent.JH.3

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TLNTSVR]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TLNTSVR\0000]
   • "Service"="TlntSvr"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Telnet"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TLNTSVR\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="TlntSvr"

– [HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr\Enum]
   • "0"="Root\\LEGACY_TLNTSVR\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLMSSP]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLMSSP\0000]
   • "Service"="NtLmSsp"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="NT LM Security Support Provider"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTLMSSP\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="NtLmSsp"

– [HKLM\SYSTEM\CurrentControlSet\Services\NtLmSsp\Enum]
   • "0"="Root\\LEGACY_NTLMSSP\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NPF\0000\Control]
   • "ActiveService"="NPF"

– [HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr]
   • "Start"=dword:00000002

– [HKLM\SYSTEM\CurrentControlSet\Services\RDSessMgr]
   • "Start"=dword:00000002

– [HKLM\SYSTEM\CurrentControlSet\Services\TermService]
   • "Start"=dword:00000002

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver]
   • "Start"=dword:00000002

Folgender Registryschlüssel wird geändert:

– [HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent]
   Alter Wert:
   • @=%Einstellungen des Benutzers%
   Neuer Wert:
   • @=dword:0000000c

Hintertür Der folgende Port wird geöffnet:

– tlntsvr.exe an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.

Möglichkeiten der Fernkontrolle:
• Öffnen einer remote shell

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• MEW 11

Kurzfassung hier.

Beschreibung erstellt von Catalin Jora am Wed, 28 Sep 2005 16:29 (GMT+1)
Beschreibung geändert von Catalin Jora am Mon, 10 Oct 2005 08:59 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück