TR/Dldr.VB.ri.4 - Trojan

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	TR/Dldr.VB.ri.4
Entdeckt am:	09/01/2006
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	45.056 Bytes
MD5 Prüfsumme:	9a315e20f2aaeed9f83629989bc31b33
VDF Version:	6.33.00.13 - Thu, 08 Dec 2005 06:57 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: Adware-DollarRevenue.
   • Kaspersky: Trojan-Downloader.Win32.VB.ri
   • TrendMicro: TROJ_DRSMARTL.C
   • Bitdefender: Trojan.Downloader.VB.RI

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine Dateien herunter
   • Lädt schädliche Dateien herunter

Dateien Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://content.dollar**********.com/bundle/smartload.asp?a=a_n_u&id=%übergebener Parameter%
Diese wird lokal gespeichert unter: %temporary internet files%\smartload.htm Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

– Die URL ist folgende:
   • http://content.dollar**********.com/bundle/smartload.asp?id=%übergebener Parameter%
Diese wird lokal gespeichert unter: %temporary internet files%\smartload.htm Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

– Die URL ist folgende:
   • http://content.dollar**********.com/bundle/smartload_d.asp?a=d&id=%übergebener Parameter%
Diese wird lokal gespeichert unter: %temporary internet files%\smartload.htm Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

– Die URL ist folgende:
   • http://content.dollar**********.com/bundle/smartload.asp?a=a_u&id=%übergebener Parameter%
Diese wird lokal gespeichert unter: %temporary internet files%\smartload.htm Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

– Die URL ist folgende:
   • http://content.dollar**********.com/bundle/donotdelete.asp
Diese wird lokal gespeichert unter: %WINDIR%\drsmartload.dat

Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\drsmartload]
• "Installed"="1"

Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://content.dollar**********.com/bundle/smartload_stats.asp?exe=%besuchte URL%&id=%übergebener Parameter%
   • http://content.dollar**********.com/bundle/smartload_stats.asp?exe=%besuchte URL%
   • http://content.dollar**********.com/bundle/smartload_einde.asp?id=%übergebener Parameter%
   • http://content.dollar**********.com/bundle/smartload_stats_d.asp?naam=%besuchte URL%&land=%übergebener Parameter%
   • http://content.dollar**********.com/bundle/smartload_stats.asp?a=a_u&exe=%besuchte URL%

Hierdurch können Informationen gesendet werden.

Sende Informationen über:
    • Aktueller Malware Status

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Kurzfassung hier.

Beschreibung erstellt von Iulia Diaconescu am Mon, 09 Jan 2006 14:33 (GMT+1)
Beschreibung geändert von Iulia Diaconescu am Tue, 10 Jan 2006 15:04 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück