TR/Dldr.Small.byc.3 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Dldr.Small.byc.3
Entdeckt am:	09/12/2005
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	8.238 Bytes
MD5 Prüfsumme:	bedf77d63608502f886cea153acac95d
VDF Version:	6.33.00.17 - Fri, 09 Dec 2005 14:37 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: Downloader-ZQ
   • Kaspersky: Packed.Win32.Klone.b
   • TrendMicro: TROJ_DLOADER.BAT
   • Bitdefender: Trojan.Downloader.Small.BFZ

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt Dateien herunter
   • Lädt eine schädliche Dateien herunter
   • Änderung an der Registry

Dateien Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://69**********1.171/images/paradise.raw
Diese wird lokal gespeichert unter: %SYSDIR%\paradise.raw Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Packed.Klone.b.1

– Die URL ist folgende:
   • http://69**********1.171/cntr.php
Diese wird lokal gespeichert unter: %SYSDIR%\winsub.xml

– Die URL ist folgende:
   • http://69**********1.171/cntr.php
Diese wird lokal gespeichert unter: %SYSDIR%\svcp.csv

Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKEY_CURRENT_USER]
• "WindowsSubVersion"=dword:%Hex Werte%

Hintertür Kontaktiert Server:
Den folgenden:
• http://69**********1.171/cntr.php

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• gagagaradio

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Fri, 30 Dec 2005 09:40 (GMT+1)
Beschreibung geändert von Daniel Constantin am Fri, 30 Dec 2005 12:16 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück