TR/Dldr.Adlo.J.47.B - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Dldr.Adlo.J.47.B
Entdeckt am:	16/12/2005
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	40.960 Bytes
MD5 Prüfsumme:	9237ef8ee7d53b5d8e81c58a09d6b190
VDF Version:	6.33.00.35 - Fri, 16 Dec 2005 14:23 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Downloader.Win32.Adload.l
   • TrendMicro: TROJ_DRSMARTL.A
   • VirusBuster: trojan Trojan.DL.Adload.M
   • Bitdefender: Trojan.Downloader.VB.BZ

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Änderung an der Registry

Dateien Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://www.dol**********ue.com/timessquare.exe
Diese wird lokal gespeichert unter: %WINDIR%\timessquare.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/StartPage.AW.1

– Die URL ist folgende:
   • http://19**********45.55/install.exe
Diese wird lokal gespeichert unter: c:\install.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Erkannt als: TR/Dldr.Smartl.A.1

– Die URL ist folgende:
   • http://www.on**********e.com/app/ADDR/Installer.exe
Diese wird lokal gespeichert unter: c:\Installer.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Erkannt als: ADSPY/Look2Me.AB.67

Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\drsmartload]
• "Installed"="1"

Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://content.do**********nue.com/bundle/smartload.asp
   • http://promo.do**********nue.com/bundle/smartload_einde.asp
   • http://content.do**********nue.com/bundle/donotdelete.asp
   • http://content.do**********nue.com/bundle/smartload_d.asp

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden.

Sende Informationen über:
    • Aktueller Malware Status

Möglichkeiten der Fernkontrolle:
    • Datei herunterladen

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Thu, 29 Dec 2005 10:02 (GMT+1)
Beschreibung geändert von Daniel Constantin am Thu, 29 Dec 2005 10:35 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück