TR/Dldr.Agent.tc.4 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Dldr.Agent.tc.4
Entdeckt am:	28/10/2005
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	28.160 Bytes
MD5 Prüfsumme:	f128d971ad293672f2ced609c51cb6b2
VDF Version:	6.32.00.111 - Mon, 24 Oct 2005 15:17 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Symantec: Trojan.Flush.A
   • Kaspersky: Trojan-Downloader.Win32.Agent.tc
   • Bitdefender: Trojan.DNSChanger.R

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Änderung an der Registry

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\hgqhp.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Folgende Datei wird gelöscht:
   • %SYSDIR%\hgqhp.exe

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://195.**********.100/users/serg/web/files/images/coded1.jpg
Diese wird lokal gespeichert unter: %SYSDIR%\coded1.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Xsvix

– Die URL ist folgende:
   • http://195.**********.100/users/serg/web/files/images/logo_small.jpg
Diese wird lokal gespeichert unter: %SYSDIR%\logo_small.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Pipas.A

– Die URL ist folgende:
   • http://195.**********.100/users/serg/web/files/images/hlmicro.jpg
Diese wird lokal gespeichert unter: %SYSDIR%\hlmicro.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: ADSPY/Msnagent.B

– Die URL ist folgende:
   • http://195.**********.100/users/serg/web/files/images/hwiper.jpg
Diese wird lokal gespeichert unter: %SYSDIR%\hwiper.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Qhost.DF

– Die URL ist folgende:
   • http://195.**********.100/users/serg/web/files/images/favme.jpg
Diese wird lokal gespeichert unter: %SYSDIR%\favme.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Favadd.AN

– Die URL ist folgende:
   • http://195.**********.100/users/serg/web/files/images/bndmod.jpg
Diese wird lokal gespeichert unter: %SYSDIR%\bndmod.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

– Die URL ist folgende:
   • http://85.**********.43/dgprpsetup.exe
Diese wird lokal gespeichert unter: %SYSDIR%\dgprpsetup.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Agent.SY

– Die URL ist folgende:
   • http://the**********.com/config.php
Diese wird lokal gespeichert unter: %WINDIR%\rdt.ini

– Die URL ist folgende:
   • http://195.**********.100/users/serg/web/files/images/empty.gif
Diese wird lokal gespeichert unter: %SYSDIR%\%fünfstellige zufällige Buchstabenkombination%.dll Erkannt als: TR/Drop.Small.XL

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "hgqhp.exe"="%SYSDIR%\hgqhp.exe"

Der Wert des folgenden Registry keys wird gelöscht:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%ausgeführte Datei%"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "hgqhp.exe"="%SYSDIR%\hgqhp.exe"

Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\1dedoc]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\llams_ogol]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwh]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\emvaf]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\domdnb]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\orcimlh]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]
   • "1dedoc"=hex:%Hex Werte%
   • "llams_ogol"=hex:%Hex Werte%
   • "repiwh"=hex:%Hex Werte%
   • "ytpme"=hex:%Hex Werte%
   • "emvaf"=hex:%Hex Werte%
   • "domdnb"=hex:%Hex Werte%
   • "orcimlh"=hex:%Hex Werte%
   • "putesprpgd"=hex:%Hex Werte%

– [HKLM\SOFTWARE\SearchToolbar\Toolbar]
   • "Version"="1.1"
   • "OptdateTest"=dword:4365eb0a

– [HKCR\ToolBand.ToolBandObj.1]
   • @="SearchToolbar"

– [HKCR\ToolBand.ToolBandObj.1\CLSID]
   • @="{08BEC6AA-49FC-4379-3587-4B21E286C19E}"

– [HKCR\ToolBand.ToolBandObj]
   • @="SearchToolbar"

– [HKCR\ToolBand.ToolBandObj\CLSID]
   • @="{08BEC6AA-49FC-4379-3587-4B21E286C19E}"

– [HKCR\ToolBand.ToolBandObj\CurVer]
   • @="ToolBand.ToolBandObj.1"

– [HKCR\CLSID\{08BEC6AA-49FC-4379-3587-4B21E286C19E}]
   • @="SearchToolbar"

– [HKCR\CLSID\{08BEC6AA-49FC-4379-3587-4B21E286C19E}\InprocServer32]
   • @="%SYSDIR%\hzpvq.dll"

– [HKCR\CLSID\{08BEC6AA-49FC-4379-3587-4B21E286C19E}\ProgID]
   • @="ToolBand.ToolBandObj.1"

– [HKCR\CLSID\{08BEC6AA-49FC-4379-3587-4B21E286C19E\
   VersionIndependentProgID]
   • @="ToolBand.ToolBandObj"

– [HKCR\TypeLib\{110FA82F-DB6C-3C24-8929-60961D10C56E}\1.0]
   • @="IDEHandler"

– [HKCR\TypeLib\{110FA82F-DB6C-3C24-8929-60961D10C56E}\1.0\0\win32]
   • @="%SYSDIR%\hzpvq.dll"

– [HKCR\TypeLib\{110FA82F-DB6C-3C24-8929-60961D10C56E}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{110FA82F-DB6C-3C24-8929-60961D10C56E}\1.0\HELPDIR]
   • @="%sysdir%\"

Injektion – Es injiziert folgende Datei in einen Prozess: %Malware DLL%

Prozessname:
• explorer.exe

Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.

Versteckt folgendes:
– Eigene Dateien
– Eigene Registryschlüssel

Eingesetzte Methode:
• Unsichtbar von Windows API

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Tue, 01 Nov 2005 17:54 (GMT+1)
Beschreibung geändert von Iulia Diaconescu am Mon, 28 Nov 2005 17:22 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück