TR/Dldr.Agen.xa.1.B - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Dldr.Agen.xa.1.B
Entdeckt am:	19/10/2005
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	28.160 Bytes
MD5 Prüfsumme:	809B4BC6E0CB8202DACF522CC36FA5E0
VDF Version:	6.32.00.95 - Tue, 18 Oct 2005 09:06 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • TrendMicro: TROJ_SPYWAD.J
   • Bitdefender: Trojan.Hoax.Renos.P

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine Dateien herunter
   • Änderung an der Registry

Nach Aktivierung wird folgende Information angezeigt:

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %Wurzelverzeichnis des Systemlaufwerks%\winstall.exe

Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %WINDIR%\desktop.html

– %PROGRAM FILES%\SpySheriff\base.avd
– %PROGRAM FILES%\SpySheriff\base001.avd
– %PROGRAM FILES%\SpySheriff\base002.avd
– %PROGRAM FILES%\SpySheriff\found.wav
– %PROGRAM FILES%\SpySheriff\heur000.dll
– %PROGRAM FILES%\SpySheriff\heur001.dll
– %PROGRAM FILES%\SpySheriff\heur002.dll
– %PROGRAM FILES%\SpySheriff\heur003.dll
– %PROGRAM FILES%\SpySheriff\IESecurity.dll
– %PROGRAM FILES%\SpySheriff\notfound.wav
– %PROGRAM FILES%\SpySheriff\ProcMon.dll
– %PROGRAM FILES%\SpySheriff\removed.wav
– %PROGRAM FILES%\SpySheriff\SpySheriff.exe
– %PROGRAM FILES%\SpySheriff\Uninstall.exe
– %PROGRAM FILES%\SpySheriff\SpySheriff.dvm

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://www.**********sheriff.com/trial.php?rest=%mehrere zufällige Zahlen von 0 - 9%&ver=%mehrere zufällige Zahlen von 0 - 9%&a=00000001
Diese wird lokal gespeichert unter: %home%\Application Data\Install.dat

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows installer"="%Wurzelverzeichnis des Systemlaufwerks%\winstall.exe"
   • "SNInstall"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"

Der Wert des folgenden Registry keys wird gelöscht:

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • NoDesktop

Alle Werte des folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • [HKCU\SOFTWARE\Install]

Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   • "NoChangingWallpaper"=dword:00000000
   • "NoComponents"=dword:00000000
   • "NoAddingComponents"=dword:00000000
   • "NoDeletingComponents"=dword:00000000
   • "NoEditingComponents"=dword:00000000
   • "NoHTMLWallPaper"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoActiveDesktop"=dword:00000000
   • "ClassicShell"=dword:00000000
   • "ForceActiveDesktopOn"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "Wallpaper"="%WINDIR%\desktop.html"

Folgende Registryschlüssel werden geändert:

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\General]
   Alter Wert:
   • "WallpaperFileTime"=%Einstellungen des Benutzers%
   • "WallpaperLocalFileTime"=%Einstellungen des Benutzers%
   • "TileWallpaper"=%Einstellungen des Benutzers%
   • "WallpaperStyle"=%Einstellungen des Benutzers%
   • "ComponentsPositioned"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "WallpaperFileTime"=%Hex Werte%
   • "WallpaperLocalFileTime"=%Hex Werte%
   • "TileWallpaper"="0"
   • "WallpaperStyle"="2"
   • "ComponentsPositioned"=dword:00000002

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components]
   Alter Wert:
   • "DeskHtmlVersion"=%Einstellungen des Benutzers%
   • "DeskHtmlMinorVersion"=%Einstellungen des Benutzers%
   • "Settings"=%Einstellungen des Benutzers%
   • "GeneralFlags"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DeskHtmlVersion"=dword:00000110
   • "DeskHtmlMinorVersion"=dword:00000005
   • "Settings"=dword:00000001
   • "GeneralFlags"=dword:00000004

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0]
   Alter Wert:
   • "Source"=%Einstellungen des Benutzers%
   • "SubscribedURL"=%Einstellungen des Benutzers%
   • "FriendlyName"=%Einstellungen des Benutzers%
   • "Flags"=%Einstellungen des Benutzers%
   • "Position"=%Einstellungen des Benutzers%
   • "CurrentState"=%Einstellungen des Benutzers%
   • "OriginalStateInfo"=%Einstellungen des Benutzers%
   • "RestoredStateInfo"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Source"="About:Home"
   • "SubscribedURL"="About:Home"
   • "FriendlyName"="My Current Home Page"
   • "Flags"=dword:00000002
   • "Position"=%Hex Werte%
   • "CurrentState"=dword:40000004
   • "OriginalStateInfo"=%Hex Werte%
   • "RestoredStateInfo"=%Hex Werte%

– [HKCU\Control Panel\Desktop]
   Alter Wert:
   • "TileWallpaper"=%Einstellungen des Benutzers%
   • "WallpaperStyle"=%Einstellungen des Benutzers%
   • "Pattern"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "TileWallpaper"="0"
   • "WallpaperStyle"="2"
   • "Pattern"=""

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Kurzfassung hier.

Beschreibung erstellt von Andrei Gherman am Mon, 24 Oct 2005 10:21 (GMT+1)
Beschreibung geändert von Andrei Gherman am Tue, 25 Oct 2005 15:59 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück