TR/Agent.EY.3 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Agent.EY.3
Entdeckt am:	16/11/2005
Art:	Trojan
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	39.892 Bytes
MD5 Prüfsumme:	8a6a6e27828d64aa3ae83b3101170ac6
VDF Version:	6.32.00.155 - Tue, 08 Nov 2005 08:12 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • TrendMicro: TSPY_AGENT.CZ
   • Sophos: Troj/Agent-EY
   • Bitdefender: Trojan.Agent.EY

Betriebsysteme:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt Dateien herunter
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\perfmnt.exe
   • %TEMP%\uw8888001.exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Folgende Datei wird gelöscht:
   • %TEMP%\uw8888001.exe

Es werden folgende Dateien erstellt:

– %TEMP%\ld.html Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %gestohlene Infromation%

– %TEMP%\286015.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.
– %TEMP%\62530306.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URLs sind folgende:
   • http://scsta**********.uk/update.php?version=2.006&cid=new
   • http://chip**********.com/ed/update.php?version=2.006&cid=new
   • http://school**********.com/Old/Replaced23Oct02/update.php?version=2.006&cid=new
Diese wird lokal gespeichert unter: %temporary internet files%\update.htm

– Die URL ist folgende:
   • http://scsta**********.uk/update.php?version=2.006&cid=%mehrere zufällige Zahlen von 0 - 9%
Diese wird lokal gespeichert unter: %temporary internet files%\update.htm

Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution\Options\explorer.exe]
   • "Debugger"="%sysdir%\perfmnt.exe"

– [HKCU\Identities]
   • "SystemHash"="%mehrere zufällige Zahlen von 0 - 9%"

Hintertür Kontaktiert Server:
Den folgenden:
• http://66.**********.149/cnt.php

Hierdurch können Informationen gesendet werden.

Diverses Mutex:
Es werden folgende Mutexe erzeugt:
• 2.006
• 1.01

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• MEW 11 1.2

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Thu, 17 Nov 2005 16:50 (GMT+1)
Beschreibung geändert von Iulia Diaconescu am Thu, 24 Nov 2005 16:56 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück