TR/Drop.Small.cbx.1 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Drop.Small.cbx.1
Entdeckt am:	22/12/2005
Art:	Trojan
Nebenart:	Dropper
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	60.091 Bytes
MD5 Prüfsumme:	552d8f1e645a6a53ccd531d5731edf4b
VDF Version:	6.33.00.53 - Thu, 22 Dec 2005 12:26 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: PWS-JA
   • Kaspersky: Trojan-Spy.Win32.Small.dg
   • Bitdefender: Trojan.Spy.Small.W

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt schädliche Dateien
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Folgende Datei wird gelöscht:
   • %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\tmp.tmp

Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %TEMPDIR%\$_2341234.tmp

– %TEMPDIR%\$_2341233.tmp Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %gestohlene Infromation%

– %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Smal.dg.16.C

– %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Smal.dg.16.D

– %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00002.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Drop.Sma.dg.16.C

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Shell"="%PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

Folgender Registryschlüssel wird geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Shell"="explorer.exe"
   Neuer Wert:
   • "Shell"="explorer.exe %mehrere Leerzeichen% %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

Hintertür Die folgenden Ports werden geöffnet:

– explorer.exe an einem zufälligen TCP port um einen HTTP Server zur Verfügung zu stellen.
– explorer.exe an einem zufälligen TCP port um einen Socks5 Proxy Server zur Verfügung zu stellen.

Kontaktiert Server:
Alle der folgenden:
   • http://d**********team.com/gamma/x25.php
   • http://no**********bs.com/gamma/x25.php

Hierdurch können Informationen gesendet werden. Dies geschieht mittels der HTTP POST Methode unter Verwendung eines PHP Scripts.

Sende Informationen über:
    • Versteckte Passwörter
    • Erstellte Protokolldatei
    • IP Adresse
    • Aktueller Malware Status
    • Geöffneter Port
    • Aus dem Diebstahl-Bereich gesammelte Informationen
    • Information über das Windows Betriebsystem

Diebstahl Es wird versucht folgende Information zu klauen:
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Passwörter folgender Programme:
   • Outlook
   • Eudora
   • AK-Mail
   • Thunderbird
   • The Bat
   • Flash FXP
   • Total commander
   • Far

– Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
   • %jede Webseite mit Login-Formular%

– Aufgezeichnet wird:
    • Fensterinformation
    • Anmeldeinformation

Injektion – Es injiziert folgende Datei in einen Prozess: %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00001.dll

    Prozessname:
   • explorer.exe

– Es injiziert folgende Datei in einen Prozess: %PROGRAM FILES%\Common Files\Microsoft Shared\Web Folders\ibm00002.dll

    Prozessname:
   • explorer.exe

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• MSARCH_MUTEX_NAME

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Tue, 03 Jan 2006 09:04 (GMT+1)
Beschreibung geändert von Daniel Constantin am Tue, 03 Jan 2006 17:05 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück